[GELÖST] IPTables/UFW - Reject-Regel greift nicht

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Saxenpower

[GELÖST] IPTables/UFW - Reject-Regel greift nicht

Beitrag von Saxenpower » 01.02.2022 10:36:13

Hallo,

ich möchte ganz gern bestimmte IP-Adressen blockieren (Debian Linux 11) und habe dafür Iptables zusammen mit UFW installiert.
Hintergrund ist das Absichern eines FreePBX-Systems.
Meine Firewall sieht in UFW-Syntax so aus:

Code: Alles auswählen

ufw status
Status: active

To                         Action      From
--                         ------      ----
192.168.0.208 52204/tcp    ALLOW       Anywhere                  
192.168.0.245 52204/tcp    ALLOW       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
5060/udp                   ALLOW       Anywhere                  
5061/udp                   ALLOW       Anywhere                  
10000:20000/udp            ALLOW       Anywhere                  
25/tcp                     ALLOW       Anywhere                  
465/tcp                    ALLOW       Anywhere                  
Anywhere                   REJECT      93.195.91.164             
Anywhere                   REJECT      192.168.0.233             
2003:e5:9711:4101:cc27:3f11:76ba:f9e4 52204/tcp ALLOW       Anywhere (v6)             
2003:e5:9711:4101:e593:aa07:2368:d5f3 52204/tcp ALLOW       Anywhere (v6)             
80/tcp (v6)                ALLOW       Anywhere (v6)             
5060/udp (v6)              ALLOW       Anywhere (v6)             
5061/udp (v6)              ALLOW       Anywhere (v6)             
10000:20000/udp (v6)       ALLOW       Anywhere (v6)             
25/tcp (v6)                ALLOW       Anywhere (v6)             
465/tcp (v6)               ALLOW       Anywhere (v6)
Ich habe hier zwei IP-Adressen den Zugriff verboten. 93.195.91.164 versucht von aussen eine SIP-Registrierung. Und 192.168.0.233 ist ein zweites Gerät im internen Netzwerk, mit dem ich die Regel testen will. Ich erwarte jetzt, dass weder per SSH, noch Port 25 oder 465 von der IP 192.168.0.233 zugreifen kann, doch das geht problemlos.
Ich habe die Regel wie folgt erstellt:

Code: Alles auswählen

ufw reject from 192.168.0.233 to any
ufw reload
Hintergrund ist, dass ich mit Fail2Ban die Firewall steuern will, wenn aber die Regeln auch so nicht funktionieren, macht das wenig Sinn.

Viele Grüße
SaxenPower
Zuletzt geändert von Saxenpower am 01.02.2022 11:10:08, insgesamt 1-mal geändert.

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: IPTables/UFW - Reject-Regel greift nicht

Beitrag von bluestar » 01.02.2022 10:38:22

Die Reihenfolge deiner Regeln stimmt nicht, deine 4. Regel ist ein Accept 5060/udp und erst die 9. bzw. 10. Regel sind die Rejects.

Saxenpower

Re: IPTables/UFW - Reject-Regel greift nicht

Beitrag von Saxenpower » 01.02.2022 10:43:35

Okay vielen Dank für den Hinweis. Gibt es dann die Möglichkeit die Reihenfolge bei UFW zu bestimmen? Auch bei

Code: Alles auswählen

iptables -A INPUT -s 192.168.0.233 -j DROP
würde die Regel erst nach den Erlaubten folgen. Aber nichts Anderes würde Fail2Ban machen. Auch in dem Fall müsste die Reihenfolge irgendwie steuerbar sein.

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: IPTables/UFW - Reject-Regel greift nicht

Beitrag von bluestar » 01.02.2022 10:56:00

Saxenpower hat geschrieben: ↑ zum Beitrag ↑
01.02.2022 10:43:35
Okay vielen Dank für den Hinweis. Gibt es dann die Möglichkeit die Reihenfolge bei UFW zu bestimmen?
Keine Ahnung ich shorewall statt ufw.
Saxenpower hat geschrieben: ↑ zum Beitrag ↑
01.02.2022 10:43:35

Code: Alles auswählen

iptables -A INPUT -s 192.168.0.233 -j DROP
würde die Regel erst nach den Erlaubten folgen.
iptables kennt neben -A = Append auch -I = Insert damit kannst du Regeln an gewünschten Positionen einführen. Näheres verrät die Manpage https://manpages.debian.org/bullseye/ip ... .8.en.html
Saxenpower hat geschrieben: ↑ zum Beitrag ↑
01.02.2022 10:43:35
Aber nichts Anderes würde Fail2Ban machen.
ich würde Fail2ban nicht direkt mit iptables an der ufw vorbei sprechen lassen, das führt garantiert zu Problemen. Mein Fail2ban interagiert interagiert auch ausschließlich mit shorewall und führt letztlich shorewall reject|allow <IP> aus. Für Fail2ban gibt es auch eine Schnittstelle zur ufw, siehe /etc/fail2ban/action.d/ufw.conf.

Saxenpower

Re: IPTables/UFW - Reject-Regel greift nicht

Beitrag von Saxenpower » 01.02.2022 11:09:50

bluestar hat geschrieben: ↑ zum Beitrag ↑
01.02.2022 10:56:00
ich würde Fail2ban nicht direkt mit iptables an der ufw vorbei sprechen lassen, das führt garantiert zu Problemen. Mein Fail2ban interagiert interagiert auch ausschließlich mit shorewall und führt letztlich shorewall reject|allow <IP> aus. Für Fail2ban gibt es auch eine Schnittstelle zur ufw, siehe /etc/fail2ban/action.d/ufw.conf.
Das hilft mir ersteinmal weiter. Ich kenne Shorewall, tolles Tool, aber finde ich für den Zweck bisschen überdimensioniert. Bei Fail2Ban dachte ich dann auch eher daran in den Actions-Scripts die Befehle zu modifizieren. Jetzt versuche ich erst die Basics zu verstehen, dabei warst Du eine gute Hilfe.

Saxenpower

Re: [GELÖST] IPTables/UFW - Reject-Regel greift nicht

Beitrag von Saxenpower » 01.02.2022 11:25:28

Zum Schluß noch die Lösung - vielleicht geht's bei UFW auch noch performanter:

In die /etc/ufw/before.rules muss nach "# End required lines" der Eintrag

Code: Alles auswählen

-A ufw-before-input -s IP-Adresse -j DROP
erfolgen und die Firewall neu geladen werden:

Code: Alles auswählen

ufw reload

Antworten