Frage zur Firewallkonfiguration - vcpbeta

  • hallo leute,


    ich versuche gerade im neuen vcp output firewallregeln zu definieren.
    soweit ich weiß sollte wenn ich die standardregel diesbezüglich auf drop setze, die firewall jeglichen verkehr ausgehend unterbinden - das heißt im umkehrschluss, keine services dürfen antworten, der server müsste sich verhalten wie wenn er offline wäre.


    ist meine annahme diesbezüglich richtig?


    grund meiner frage ist, dass selbst wenn ich standardregel auf drop setze, ich weiterhin, auch neue connections aufbauen kann.


    muss ich hier etwas zusätzliches beachten?


    tia

  • Jein, denn die VCP-Firewall erlaubt glaube ich automatisch alle dazugehörenden Verbindungen (RELATED und ESTABLISHED). Sinnvoller ist es, wirklich den eingehenden Traffic komplett zu sperren und nur die gewünschten Ports zu öffnen. Im neuen VCP gibt es dafür sogar die Möglichkeit, die Default-Policy zu ändern: Firewall -> Einstellungen :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • danke für deine antwort!


    deine vermutung kann ich mittlerweile bestätigen, ausgehende verbindungen die aufgrund eines eingehenden request aufgebaut werden, sind anscheinend per default erlaubt.


    wenn der server allerdings selber verbindungen nach außen aufbauen will, greifen die output regeln sehrwohl.


    also zusammengefasst ist das gewünschte verhalten gegeben, aber ich wars nur gewohnt, die firewalls auch bezüglich der antwortpakete der eingegangenen verbindungen zu konfigurieren.


    evtl. könnte man diese tatsache dem wiki hinzufügen?

  • Der Wiki Eintrag für das neue VCP wird bereits erstellt, wann dieser fertig ist können wir noch nicht genau sagen da das VCP auch noch in der Fertigstellung ist. Wir werden dies dort berücksichtigen, die Firewall Anleitung (auch wieder Separat) wir mehr Beispiele und Erläuterungen enthalten.

  • Hallo,


    ich denke das passt hier thematisch ganz gut rein.
    Das würde dann bedeuten wenn ich einen Eintrag mache für:


    INPUT ICMP ACCEPT Echo Request


    dann automatisch auch ein
    OUTPUT ICMP ACCEPT Echo Reply


    gesetzt wird.
    Wenn ich nach der Input-Regel die Output-Regel erstellen möchte dann verschwinden die Felder bei der Auswahl von "Echo Reply" und ich darf nur noch die Änderungen speichern.


    Ist das also ein Feature, kein Bug? :)

    Danke + Gruß
    Ahanil


    Stell dir vor es geht und keiner kriegt es hin!