UFW Firewall übersteht Neustart nicht unbeschadet

  • Hallo,


    auf einem meiner root Server (Ubuntu 16.04) übersteht die per UFW eingerichtete Firewall einen Neustart nicht unbeschadet. Einige Regeln sind weg, andere irgendwie doppelt. Durch ein "ufw disable" "ufw enable" werden die IP-Tables weitestgehend restauriert.

    Schaut man sich nach einem Neustart die ufw Regeln per "ufw status verbose" an sehen sie noch so aus wie vor dem Neustart - ein ip6tables -n -v --list sieht aber anderes aus als vor dem Neustart und auch anders nach dieser Kombination von "ufw disable" "ufw enable".



  • ich habe mehr Indizien: es verschwinden aus den IP-tables nicht alle sondern scheinbar nur die zuletzt per UFW hinzugefügten Regeln. Auf dem Rechner, auf dem die Regeln den Neustart nicht unbeschadet überstehen ist das Paket "iptables-persistent" installiert - auf den anderen nicht. jetzt habe ich das Paket entfernt, den Rechner neu gebootet und siehe da - alles noch da. Scheinbar haben vorher sowohl UFW als auch dieses Paket iptables-persistent versucht die ip-tables nach einem Neustart zu restaurieren - heraus kam etwas nicht konsistentes.

  • Hay,


    danke & super, dass Du die Lösung mitteilst.


    Ergänzend: Für sichern und restaurieren ist iptables-persistent da, aber wenn zwei Tools dieselbe Konfiguration bearbeiten, gibt es natürlich Zweideutigkeiten. Allerdings sollte iptables-persistent beim Herunterfahren die Regeln in /etc/iptables/rules.v4 bzw .v6 speichern, sonst würde das ja keinen Sinn machen :D. Also sollte auch MIT beiden Tools die iptables identisch sein beim reboot, weil iptables wirklich nichts anderes macht als speichern und laden. Ich stehe auf Kriegsfuß mit systemd, deswegen weiß ich nicht, wie das dort geht, aber mit sysVinit fehlte vermutlich der K-Eintrag im passenden /etc/rcx.d-Verzeichnis. Möglich, dass den ufw entfernt hat. Hätte dann aber den S-Eintrag auch entfernen müssen.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.