Posts by h725rk

Quote from frank_m

Icb kenne die netcup Firewall noch nicht so genau, aber meines Erachtens sind in den Regeln mehrere Dinge falsch.

Inbound:

Hier sollte eine konkrete Zieladresse stehen. Auch wenn man Netzwerke angeben kann: Der Server lauscht ja nur auf einer IP, oder?

Outbound:

Das ist Unsinn: eine Portnummer bei der IP-Adresse. Hier sollte wieder die konkrete Adresse des Servers rein.

Bevor du auf die Idee kommst, hier den offenen UDP-Port von Wireguard einzutragen: Nur weil der Port eingehend offen ist, heißt das noch lange nicht, dass auch die ausgehenden Pakete von diesem Port kommen. Von daher ist "*" vermutlich richtig.

Display More

Ich habe das ganze nochmal angepasst:

Beschreibung: Wireguard Inbound IPv4

Typ: EINGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): *

Source Port(s): *

Destination(s) (IPs / Netzwerke): <IPv4-Server>

Destination Port(s): <Port-Wireguard>

Beschreibung: Wireguard Inbound IPv6

Typ: EINGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): *

Source Port(s): *

Destination(s) (IPs / Netzwerke): <IPv6-Server>

Destination Port(s): <Port-Wireguard>

Beschreibung: Wireguard Outbound IPv4

Typ: AUSGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): <IPv4-Server>

Source Port(s): <Port-Wireguard>

Destination(s) (IPs / Netzwerke): *

Destination Port(s): 1024-65535

Beschreibung: Wireguard Outbound IPv6

Typ: AUSGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): <IPv6-Server>

Source Port(s): <Port-Wireguard>

Destination(s) (IPs / Netzwerke): *

Destination Port(s): 1024-65535

Funktioniert mit diesen Einstellungen.

OK, verstanden.
Folgende Regeln habe ich nun festgelegt:

Beschreibung: Wireguard Inbound

Typ: EINGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): *

Source Port(s): *

Destination(s) (IPs / Netzwerke): *

Destination Port(s): 64831

Beschreibung: Wireguard Outbound

Typ: AUSGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): *

Source Port(s): 64831

Destination(s) (IPs / Netzwerke): *

Destination Port(s): 1024-65535

Habe auch ICMP und ICMPv6 freigeschalten. Funktioniert trotzdem nicht. Ich schaue mal weiter.
/edit:
Geht jetzt. War wohl schneller als die Firewall.

Moin,

ich sitze gerade an den Firewallfreigabe für Wireguard und bei mir wird die Firewall nicht freigegeben.
Hier meine Einstellungen:

Beschreibung: Wireguard

Typ: EINGEHEND

Aktion: ACCEPT

Protokoll: UDP

Source(s) (IPs / Netzwerke): *

Source Port(s): *

Destination(s) (IPs / Netzwerke): *

Destination Port(s): 64831

Wenn ich die Defaulteinstellungen der Firewall benutze, dann funktioniert meine Wireguard-Verbindung.
Ist es bei euch genauso?`

Schönen Sonntag,
Rob

Ich schaue es mir erst Wochenende an. Vorher kann ich es nicht testen.

Quote from -Manu-

Gem. Anlage würde das bspw. bei mir so aussehen...mit dem genannten Verhalten.

Absolut simpelst. Es werden eingehend nur die eingetragenen Kommunikationsbeziehungen zugelassen, ausgehend ist alles erlaubt.

Screenshot 2025-12-14 12.22.17.png

EDIT: Und außer den genannten, eingehend Regeln erwarte ich keinerlei andere, eingehende Anfragen an das System.
Und wenn ich mit diesem simpelsten Regelwerk *random* dann nicht einmal mehr per SSH auf den Server komme....kann mMn ja irgendwas nicht stimmen.

Display More

Genau das gleiche Bild habe ich auch.

Spannend bei dir zu sehen ist, das deine implizierte Regel für "Ausgehend" auf Accept steht. Sobald ich eine eigene Regel hinzufüge, wird diese auf Drop gesetzt.

Also ich habe es nochmal getestet.

Die Regeln werden mal angewendet, mal nicht. Und wenn die nicht angewendet werden, steht alles. SSH, WebServer und auch Wireguard.

Ich werde die FW erstmal auf Durchzug schalten und mir das später nochmal anschauen.

/Edit:

Ich habe auch eine Regel, vor den Implizierten erstellt, dass diese nach Außen TCP und UDP freigeben soll. Geht mal oder mal nicht.

Ja, verstehe ich. Aber wenn ich den Traffic generell nach außen öffnen würde, dann müsste man extra eine Regel erstellen, die vor den implizierten Regeln greift.

Ich habe mich gestern auch gewundert, warum die implizierten Regel nach außen von allow zu Drop gewechselt ist.

Nagut, FW geht nicht, aber ich denke, da liegt noch ein Problem in der Firewall.
Sobald ich die meine Regeln einstelle, funktioniert dies 5 Minuten, danach wird alle geschlossen und ich kann nichts mehr machen.
Ich muss dann die Default FW-Regeln aktivieren.

Hallo,

die Mailregeln habe ich noch nicht Testen können, aber ich habe mal eine Verständnisfrage, warum muss ich Wireguard so freigeben?

chrome_wqNCZ1LkmI.png

Somit wird der Traffic durchgelassen. Die ephemeral ports werden gar nicht beachtet. Wenn ich nur die ephemeral port statt 1024-65535, funktioniert auch keine Verbindung.

Wie unsicher ist es, wenn ich es so freigebe?

Edit: Merke gerade, dass bei meinem Mailserver die Firewall noch nicht konfiguirbar ist.
Auf meinem zweiten Server habe ich eine Webserver, Wireguard und SSH freigegeben, dass funktioniert gut. Ich habe auch schon eine Rückmeldung zum Thema Mailcow bekommen und die Ports sehen gut aus.

Ich habe die Freigabe für UDP gelöscht, aber sollte die nun offen sein?

ICMP würde ich noch mit einpflegen, aber das sollte jeder machen wie er es möchte.

Quote from hoedlmoser

sieht gut aus. die "alles offen" ausgehend brauchst imho nicht, solange Du keine ausgehende regel hast sollte die dazugehörige implizite regele eh auf accept stehen. bin schon neugierig auf Deine erfahrungen mit diesem regelwerk.

wireguard benutzt ephemeral ports.

Ich teste es mal. Aber da ein paar Feature ausgehende Verbindung benötigen, würde ich das trotzdem ausprobieren.

Somit muss ich nur noch 53 TCP entfernen und dann sollte alles funktionieren. Ich teste das ganze am Wochenende.

Screenshot_2025-12-12-11-13-24-04_40deb401b9ffe8e1df2f1cc5ba480b12.jpg

Jetzt kommt das nächste Wireguard, aber mit diesen Erfahrungen aus Mailcow, sollte ich es schaffen.

Quote from hoedlmoser

ganz genau, es ging um UDP, denn bei TCP muß man dank state-full firewall ja nicht die ports >= 1024 aufmachen.

und bitte entweder mit sudo oder mit dem parameter -e damit man auch gleich die prozesse sieht die da lauschen.

Mit sudo die gleiche Ausgabe

Hier noch die ephemeral Ports bei Debian

 cat /proc/sys/net/ipv4/ip_local_port_range
32768   60999

Quote from Zierleiste

Ging es bei der Frage von hoedlmoser nicht um UDP (ss ... -u statt -t)?

Entschuldigung. Mein Fehler. Habe es angepasst

Ich bin euch noch einen Auszug meines Mailcow-Server schuldig:

Ich habs dann mit ss gemacht

Ss -ulpn

State                          Recv-Q                         Send-Q                                                 Local Address:Port                                                  Peer Address:Port                        Process
UNCONN                         0                              0                                                            0.0.0.0:64831                                                      0.0.0.0:*
UNCONN                         0                              0                                                               [::]:64831                                                         [::]:*

/Edit: Mein Fehler, habe nun die UDP Verbindungen anzeigen lassen.

Der Befehl funktioniert bei mir nicht.

Ich benutze Debian 13 minimal

Ok, nochmal angepasst.

TCP und UDP Traffic nach außen ist offen.

Unbound und RSPAMD nochmals angepasst und HTTP/HTTPS hinzugefügt

Ich schaue nachher nochmal nach wie bei Debian 13 die internen Ports definiert sind. Aber nun sollte es in Ordnung sein.

Mit TCP hatte ich das schon verstanden. Aber UDP war noch ein bisschen schwer.

Verstehe es aber nun

Verstanden.

Screenshot_2025-12-11-13-21-28-57_40deb401b9ffe8e1df2f1cc5ba480b12.jpg

ICMP wird in einer anderen Regelsammlung komplett frei gegeben.

HTTP/HTTPS muss noch ergänzt werden.

Sieht das jetzt besser aus?

Ich habe jetzt mal die Mailcow Regeln erstellt und wollte gerne diskutieren, ob noch was fehlt.

Zwei Sachen vorweg.

Mein Mailserver reagiert nur auf Security Ports, also POP3, IMAPS, etc.

DNS-Server zur Auflösung sind die IPv4- und IPv6-Dns-Server von Netcup.

Die Ports habe ich nach der offiziellen Dokumentation gebaut

https://docs.mailcow.email/de/getstarted/prerequisite-system/#eingehende-ports

https://docs.mailcow.email/de/getstarted/prerequisite-system/#ausgehende-portshosts

Was meint ihr? Was fehlt?

Am Ende wurde ich dies gerne an alle als JSON-Regel zur Verfügung stellen, damit dies einfach per API hinzugefügt werden kann.