Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

[kelvin]

Hallo,

es gibt zwar schon ein paar ähnliche Themen, ich bräuchte aber dennoch euren Rat.

Ich nutze OpenVPN und möchte auch in Zukunft (also wenn Bullseye stable ist) über die Firewall einen Killswitch nutzen.

Soll heißen, sollte die Verbindung zum VPN-Server zusammenbrechen, soll erst mal keinerlei Datenverkehr mehr erlaubt sein (weder eingehend noch ausgehend).

Über die VPN-Schnittstelle tun0 soll ausgehender Datenverkehr erlaubt sein (aber kein eingehender).

Ausserhalb von tun0 soll nur der Verbindungsaufbau zum VPN-Server erlaubt sein.

Bisher bzw. unter Buster habe ich das mittels UFW so gemacht:

Code: Alles auswählen

ufw default deny outgoing
ufw default deny incoming
ufw allow out on tun0 from any to any
ufw allow out from any to 1.2.3.4

(1.2.3.4 ist ein Beispiel für die IP-Adresse des VPN-Servers).

Jetzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.

Somit wäre UFW unter Bullseye nicht mehr funktional, da es ja nur ein Frontend für iptables ist.

Meine Frage an euch wäre nun, was ihr mir raten würdet.

Sollte ich nftables/firewalld nutzen und wenn ja, wie kann ich damit den selben Effekt wie jetzt mit UFW erzielen? (ich bräuchte in diesem Fall bitte genaue Anweisungen).

Oder sollte ich unter Bullseye iptables manuell nachinstallieren, um weiterhin UFW nutzen zu können?

Danke im Voraus

[MSfree]

Hallo,etzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.

Wo hast du das gehört?
Es gibt auch unter Bullseye nach wie vor iptables.

[mat6937]

Jetzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.

Evtl. ist das:

The iptables version string will indicate whether the legacy API (get/setsockopt) or the new nf_tables API is used.

iptables v1.7 (legacy)
iptables v1.8.2 (nf_tables)

gemeint. Wie sind auf deinem Bullseye die Ausgaben von:

Code: Alles auswählen

iptables -V
which iptables-legacy

?

[kelvin]

Wo hast du das gehört?
Es gibt auch unter Bullseye nach wie vor iptables.

Mein Fehler, da hatte ich etwas durcheinander gebracht.

Gibt es unter Bullseye auch standardmäßig iptables-nft? Dann könnte UFW ja weiterhin ganz normal genutzt werden, oder?

Wie sind auf deinem Bullseye die Ausgaben von:

Code: Alles auswählen

iptables -V
which iptables-legacy

?

Ich habe Bullseye bisher noch nicht installiert, werde es aber in den nächsten Tagen tun und es dann prüfen.

[MSfree]

Gibt es unter Bullseye auch standardmäßig iptables-nft?

iptables-nft ist Bestandteil des iptables-Pakets.

Dann könnte UFW ja weiterhin ganz normal genutzt werden, oder?

Davon würde ich ausgehen.

[uname]

Also ich nutze aktuell kein VPN.

Aber ist das ganze nicht eher eine Routing- als eine Firewall-Frage.
Kann man es nicht einfach so konfigurieren, dass wenn das VPN zusammenbricht, es keine Routen mehr ins Internet gibt?
Dann braucht man meiner Meinung nach auch eigentliche keine Firewall mehr, die dieses indirekt realisiert.

Oder sehe ich das ganz falsch?

[MSfree]

Aber ist das ganze nicht eher eine Routing- als eine Firewall-Frage.

Man kann auch den VPN-Verkehr, der bei OpenVPN standardmässig über den UDP-Port 1194 geht, sperren. Damit verhindert man dann auch gleichzeitig, daß man sich anmelden kann.

[mat6937]

Kann man es nicht einfach so konfigurieren, dass wenn das VPN zusammenbricht, es keine Routen mehr ins Internet gibt?

Es heißt ja, dass man eine Firewall nicht mit einer Blockaderoute ersetzen soll. Aber man könnte ja mal probieren, was passiert wenn man für die default route, "reject" benutzt.

[kelvin]

Davon würde ich ausgehen.

Okay, ich werde die nächsten Tage mal Bullseye installieren und es ausprobieren.

Danke an alle, die sich die Zeit genommen haben (auch wenn der Thread auf eine Fehlinterpretation meinerseits zurückzuführen war).