nftables Konfigurationsproblem - (früherer Versuch: firewalld auf Debian 12, public Zone blockt nicht

Patrick0815 · 10. September 2023

Hallo zusammen,

ich versuche gerade auf einem VPS firewalld als Ersatz für ufw zu installieren/konfigurieren, scheitere aber daran dass Ports obwohl nicht freigegeben offen sind.

Aufgrund der Workarounds die für docker in Verbindung mit der UFW notwendig sind, dacht ich ist es mal Wert eine anderes Frontend für iptables/nftables auszuprobieren.

Ausgangsbasis: Debian 12 (auf einem S***to VPS), firewalld installiert, interface ens6 der Zone public zugewiesen.

Code

sudo firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens6
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Alles anzeigen

Code

sudo firewall-cmd --get-active-zones
public
  interfaces: ens6

Meine Verständnis der Doku nach sollte alles außer der beiden Services (ssh, dhcpv6-client) auf ens6 (Zone Public) geblockt werden.

Ich hab allerdings noch einen Wireguard Service laufen auf den ich mich über ens6 locker verbinden kann.

Was übersehe ich, bzw, wo habe ich meinen Denkfehler.

Danke und Grüße

Patrick0815 · 10. September 2023

Ich hab nun firewalld rausgeschmissen und bin auf die Basics zurück, pures nftables unter Debian 12.

Allerdings habe ich hier wohl auch noch einen Fehler in der Konfiguration (aus den nftables Examples entnommen).

Code

#!/usr/sbin/nft -f

flush ruleset

table inet firewall {

    chain inbound_ipv4 {
        # accepting ping (icmp-echo-request) for diagnostic purposes.
        # However, it also lets probes discover this host is alive.
        # This sample accepts them within a certain rate limit:
        #
        icmp type echo-request limit rate 5/second accept
    }

    chain inbound_ipv6 {
        # accept neighbour discovery otherwise connectivity breaks
        #
        icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept

        # accepting ping (icmpv6-echo-request) for diagnostic purposes.
        # However, it also lets probes discover this host is alive.
        # This sample accepts them within a certain rate limit:
        #
        icmpv6 type echo-request limit rate 5/second accept
    }

    chain inbound {
        # By default, drop all traffic unless it meets a filter
        # criteria specified by the rules that follow below.
        type filter hook input priority 0; policy drop;

        # Allow traffic from established and related packets, drop invalid
        ct state vmap { established : accept, related : accept, invalid : drop }

        # Allow loopback traffic.
        iifname lo accept

        # Jump to chain according to layer 3 protocol using a verdict map
        meta protocol vmap { ip : jump inbound_ipv4, ip6 : jump inbound_ipv6 }

        # Allow SSH on port TCP/22 and allow HTTP(S) TCP/80 and TCP/443
        # for IPv4 and IPv6.
        tcp dport { 22, 80, 443} accept

        # Uncomment to enable logging of denied inbound traffic
        # log prefix "[nftables] Inbound Denied: " counter drop
    }

    chain forward {
        # Drop everything (assumes this device is not a router)
        type filter hook forward priority 0; policy drop;
    }

    # no need to define output chain, default policy is accept if undefined.
}

Alles anzeigen

Die Konfiguration wird erfolgreich geladen

Code

nft list table inet firewall
table inet firewall {
    chain inbound_ipv4 {
        icmp type echo-request limit rate 5/second accept
    }

    chain inbound_ipv6 {
        icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
        icmpv6 type echo-request limit rate 5/second accept
    }

    chain inbound {
        type filter hook input priority filter; policy drop;
        ct state vmap { invalid : drop, established : accept, related : accept }
        iifname "lo" accept
        meta protocol vmap { ip : jump inbound_ipv4, ip6 : jump inbound_ipv6 }
        tcp dport { 22, 80, 443 } accept
    }

    chain forward {
        type filter hook forward priority filter; policy drop;
    }
}

Alles anzeigen

Allerdings habe ich noch das Problem, dass eine Verbindung auf 51820/UDP nicht abgelehnt wird.

Die Policy für inbound ist drop, daher verstehe ich nicht warum die Verbindung trotzdem erlaubt wird.

Paul · 10. September 2023

Ist das ein Port, den Docker verwaltet? Das erklärt dann auch, warum firewalld den nicht blockt. Docker schreibt ja seine eigenen iptables/nftables Regeln und "überschreibt" deine vorkonfigurierten Regeln. Am einfachsten kannst du das umgehen, wenn du die bind ip einfach auf 127.0.0.1 setzt. Statt "-p 51820:51820/udp" kannst du "-p 127.0.0.1:51820/51820/udp" verwenden. Dann ist der Port generell nicht von außen erreichbar (unabhängig der eingesetzten Firewall). Alternativ kann in Docker auch statt einer bridge das host network ausgewählt werden. In diesem Fall greifen dann auch wieder deine normalen Firewall Regeln.

Patrick0815 · 10. September 2023

Docker läuft auf dem System noch gar nicht.

War bisher auf ufw und wollte die Docker Firewallthematik angehen, bevor ich docker installiere und scheitere nun leider an solchem Kleinkram.

perryflynn · 10. September 2023

Zitat von Patrick0815

dass eine Verbindung auf 51820/UDP nicht abgelehnt wird.

Geht das überhaupt? UDP ist ja stateless, also fire and forget.

Man bekommt eigentlich keine Rückmeldung, ob da irgendwas angenommen oder abgelehnt wurde.

Bei TCP solltest Du ein reject bekommen.

Patrick0815 · 10. September 2023

Guter Punkt, zumindest ist das Verhalten des Wireguard Clients auch bei ausgeschaltetem Server identisch.

Da bin ich wohl falsch abgebogen.

Hat noch jemand einen heißen Tipp wie ich diesen UFW Konstrukt auf nftables umstellen kann?

Code

*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from wireguard client to ens3
-A POSTROUTING -s 192.168.200.0/24 -o ens3 -j MASQUERADE
COMMIT

perryflynn · 10. September 2023

So ists auf meinem Router:

Code

table ip global {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                ip saddr { 172.23.24.0/23 } oifname "wlp5s0" masquerade
        }
}

Patrick0815 · 10. September 2023

Zitat von perryflynn

So ists auf meinem Router:

Code

table ip global {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                ip saddr { 172.23.24.0/23 } oifname "wlp5s0" masquerade
        }
}

Teste ich, wird allerdings ein paar Tage dauern (Geschäftsreise).

Patrick0815 · 12. September 2023

Konnte nun endlich testen, Danke für den Input perryflynn

Ich hatte noch einen Fehler in der Forward Rule, hier war noch ein drop hinterlegt so dass ich über den Tunnel nicht ins Internet gekommen bin.

nftables Konfigurationsproblem - (früherer Versuch: firewalld auf Debian 12, public Zone blockt nicht

Patrick0815 10. September 2023

Patrick0815 12. September 2023

Tags