rennradler
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Hallo Leute, ich habe auf meinem neuen Laptop firewalld und iptables-nft installiert, da ich gerne einen ssh-Zugang habe und ich das Ding auch an der Hochschule nutze. Ich habe mich bisher noch nie mit dem Thema firewalld auseinandergesetzt, daher ist die Frage vielleicht naiv. Die Konfiguration habe ich nicht geändert - wie installiert. Wenn ich von außen per ssh zugreifen will, geht das im lokalen Netzwerk mit einer IPV4-Adresse, versuche ich es mit der IPV6-Adresse (macht die Namensauflösung via Fritzbox standardmäßig), blockiert anscheinend die Firewall. Kann das sein?
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8625
Wohnort: Münster
|
rennradler schrieb: […] ich habe auf meinem neuen Laptop firewalld und iptables-nft installiert
Wenn Du nicht konkret angeben kannst, wovor Dich der firewalld schützen soll und diesen dementsprechend konfigurierst, ist das Ding nutzlos und schadet eher als dass es nutzt. Wenn Du es benutzen willst, beachte dass standardmäßig bereits ufw installiert ist. In der Regel benötigt man keines der beiden, aber sie können sich gegenseitig auch stören.
[…] Die Konfiguration habe ich nicht geändert - wie installiert.
Siehe oben. Das bringt im günstigsten Fall gar nichts. Ob Du zur Konfiguration von Netfilter-Regeln die alte Syntax oder die moderne NFT benutzt, ist Deine rein persönliche Vorliebe und technisch für das Ergebnis bedeutungslos.
Wenn ich von außen per ssh zugreifen will, geht das im lokalen Netzwerk mit einer IPV4-Adresse, versuche ich es mit der IPV6-Adresse (macht die Namensauflösung via Fritzbox standardmäßig), blockiert anscheinend die Firewall. Kann das sein?
Ja, eine schlecht und ohne Verstand konfigurierte Firewall kann Probleme verursachen.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
kB schrieb: Wenn Du nicht konkret angeben kannst, wovor Dich der firewalld schützen soll und diesen dementsprechend konfigurierst, ist das Ding nutzlos und schadet eher als dass es nutzt.
Es wird halt aus vielen Ecken eine Firewall auch für Linuxrechner propagiert und behauptet, das Fedora-Projekt wäre endlich eine Enduser-tauglich Lösung ohne Konfigurationsaufwand. Es gibt ja da verschiedene Netzwerkzonen, die man per Applet auswählen kann und damit soll das dann funktionieren. Ich dachte mir, daß "public" eingehende Verbindungen unterbindet und home diese erlaubt. Im Heimnetz will ich freien Zugriff haben und im public nicht. Ich war sehr verdutzt, daß es zunächst doch per ssh ging. Die nähere Untersuchung hat dann dieses seltsame Verhalten zutage gefördert. Wird das eigentlich irgendwo geloggt, wenn die FW was blockiert? In journalctl habe ich da auf die Schnelle nichts gesehen. Nun gut, ich schmeiß die Firewall wieder runter, da ich keine Lust habe, mich da tagelang zu beschäftigen.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Es wird halt aus vielen Ecken eine Firewall auch für Linuxrechner propagiert und behauptet, das Fedora-Projekt wäre endlich eine Enduser-tauglich Lösung ohne Konfigurationsaufwand.
Es wird halt auch ziemlich viel Nonsens behauptet. Bevor man sich sinnvoll mit einer FW befassen kann, muss man die Netzwerkprotokolle verstehen.
Wenn auf den Schnittstellen nach außen kein Dienst wie ssh lauscht, kann auch keiner erfolgreich angreifen. Von Bugs in den IP-Stacks, die es in der Vergangenheit mal gab (z.B. ping fo death und so) abgesehen, gibt es dann kein Risiko, wenn man sein System aktuell hält. Damit man eine FW nach seinen Vorstellungen konfigurieren kann, muss man die Grundlagen der Netzwerktechnik kennen.
Tut man das nicht, sollte man auch keine Serverdienste betreiben. Prüfe mit ss -ltun was bei dir läuft. Da soll auf anderen Adressen als ::1 und 127.0.0.0/8 nichts laufen, was du nicht explizit haben willst.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Nein, da ist nichts unerwartetes dabei. Da ist halt sshd, kdeconnectd, avahi, dopbox, ... kann ich alles zuordnen. Dann schmeiß die die FW wieder runter. sshd will ich laufen haben.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
rennradler schrieb: Dann schmeiß die die FW wieder runter. sshd will ich laufen haben.
Dann versuch mal mit z. B.:
sudo iptables -I INPUT 1 -i <input-Interface> -p tcp --dport 22 -j ACCEPT
sudo iptables -I INPUT 2 -i <input-Interface> -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I INPUT 3 -i <input-Interface> -p tcp -m state --state NEW,INVALID,UNTRACKED -j REJECT
(input-Interface anpassen und ohne spitze Klammern). Diese Regeln (für tcp-Verbindungen) sind nicht persistent. Mit:
sudo iptables -nvx -L INPUT
kannst Du die Zähler/counter (für pkts/bytes) der Regeln anschauen.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Danke, werde ich ausprobieren. Ich habe jetzt mal den firewalld gestoppt und prompt geht der Zugriff per ssh auch via IPV6.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
rennradler schrieb: ... der Zugriff per ssh auch via IPV6.
OK. Für IPv6 kann/soll dann ip6tables benutzt werden.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Die also parallel installieren?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17657
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
rennradler schrieb: Die also parallel installieren?
Die sind eigentlich schon da.
|
rennradler
(Themenstarter)
Anmeldungsdatum: 27. Februar 2010
Beiträge: 1833
|
Danke. Ich muß mich dann doch genauer damit beschäftigen, wenn ich die FW nutzen will.
|