Zum Inhalt springen
  • 0

UFW - Uncomplicated Firewall


Frage

Geschrieben

Guten Tag liebe Community,

zu Übungszwecken habe ich mir ein kleines virtuelles Debian Netzwerk gebaut.

Die Firewall(UFW) auf dem Gateway(GW-01) macht mir nun Probleme ...

Ich möchte von dem Client WS-01 über einen Browser im Internet surfen, habe dazu die Ports 80 & 443 freigegeben, leider bringt das nichts, der Browser lädt die Seite nicht.

Die Verbindungen funktionieren alle einwandfrei, sobald ich die UFW ausschalte, läuft alles wunderbar...

Zusätzlich habe ich auch den Port 22 für SSH freigegeben, was auch problemlos funktioniert.

Die Firewall neu installiert und konfiguriert habe ich auch schon, ändert leider nichts am Problem.

Hat jemand von euch eine Idee was das Problem sein könnte bzw. was ich falsch mache ?

MfG

FiSi_2021

 

lulu.png

lele.png

21 Antworten auf diese Frage

Empfohlene Beiträge

  • 1
Geschrieben

So gesehen ist ufw auch "nur" ein Frontend für iptables ;)

Ich denke auch, forwarding ist hier das Stichwort, mit dem man sich noch ein wenig näher befassen sollte.

Zum Thema PING: Das dürfte funktionieren, weil es bei ufw eine Sammlung von sog. "before rules" gibt. Die solltest du hier finden:
/etc/ufw/before.rules

Da steht u.a. drin:

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

(zumindest bei mir, aber Mint und Debian sind ja recht nah beieinander)

Diese rules (sofern vorhanden, wovon ich bei dir aber ausgehe) greifen vor sämtlichen manuell konfigurierten Einträgen.

Hier sollten übrigens auch schon die wichtigen "related / established"-Regeln drin stehen, die später für einen sauberen Rückweg von Paketen sorgen:

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

 

  • 0
Geschrieben

Wie ist die DNS-Auflösung eingerichtet? Stellt die UFW auch einen DNS-Server bereit und wenn ja ist WS-01 so eingerichtet, dass auch die 192.168.0.126 als DNS-Server verwendet wird? Oder stellt die UFW keinen DNS-Server bereit? In diesem Fall müsste dementsprechend nicht nur HTTP und HTTPS, sondern auch DNS in Richtung Internet erlaubt werden und WS-01 müsste dementsprechend einen oder mehrere DNS-Server im Internet nach der Namensauflösung befragen.

  • 0
Geschrieben

Moin Moin,

also das gw-01 stellt einen caching only dns bereit und ja, ist so eingerichtet das ws-01 den über die 192.168.0.126 erreicht.

Die UFW selbst stellt keinen DNS bereit  ...

Alles klar, dann muss ich also noch port 53 freigeben, schande über mein haupt das ich da nicht selbst drauf gekommen bin 🥴

Vielen Dank für die Hilfe !

LG aus dem Hamburger Westen ✌️

  • 0
Geschrieben

Nur mal so als Anregung.
Port 22, 80 und 443 ist von überall her erlaubt? Wieso? Das solltest du auf die beiden Netze, bzw. das zusammengefasste Netz 192.168.0.0/24 beschränken, sonst funktioniert das aus Internetrichtung genauso und die Firewall ist sinnlos.
Zurück kommt es ja nicht auf diesen "well known ports", sondern auf dynamischen "high ports" ab Port 1024. Davon abgesehen sollte die Rückverbindung automatisch erlaubt werden von der Firewall.
Also entweder gibst du Interface oder IP-Ranges an. Anywhere sollte möglichst nicht verwendet werden.

  • 0
Geschrieben

Mal abgesehen davon ob diese Konfiguration jetzt sinnvoll ist oder nicht, eine Verbindung von ws-01 auf eine Website bekomme ich trotzdem nicht. Nameserver sind eingetragen. Sobald die firewall auf disable ist, läuft ja alles ....

hmmmmmmmm 😕

 

 

sdasdas.png

  • 0
Geschrieben

Ich kenne UFW nicht, deswegen kann ich nur Hinweise geben, woran es liegen könnte.

Kann WS-01 DNS-Namen auflösen, wenn UFW aktiviert ist, oder scheitert es schon daran? Kann GW-01 DNS-Namen auflösen, wenn UFW aktiviert ist? Muss vielleicht noch DNS ausgehend von GW-01 in Richtung Internet freigegeben werden, weil UFW eben auf GW-01 installiert ist und deswegen sowohl ein- als auch ausgehenden Verkehr kontrolliert?

Was passiert, wenn Du Ping erlaubst? Kann aus dem internen Netzwerk die 192.168.0.126 angepingt werden, wenn UFW aktiv ist? Falls ja, kann z.B. die 8.8.8.8 (google DNS) angepingt werden? Falls ja, kann www.heise.de angepingt werden?

  • 0
Geschrieben

Was geben denn die Logs her? Ggf vorher dass was geloggt werden soll prüfen, im Zweifel debug.

Wireshark wäre auch Mal angebracht. Vor und hinter der FW sollte schnell zeigen ob /was gar nicht durchgeht. Im Zweifel muss man dann nochmal genauer schauen. 

  • 0
Geschrieben
vor 3 Stunden schrieb FiSi_2021:

So sehen die Logs aus.

die zu prüfen bzw debug, geht leider etwas über meinen jetzigen wissensstand hinaus ...

 

logs.png

Sollte mich wohl lieber "angehenderFiSi_2021" nennen oder FutureFiSi

was einem halt direkt auffält , [UFW BLOCK] in enp0s8 out enp0s3

muss ich eventuell nochmal extra  ip_forwarding für die firewall konfigurieren ? habe das ja eigentlich schon aktiviert und die pings hauen ja auch hin ...

sorry für den SPAM, mich lassen solche sachen bloß unruhig schlafen xD

  • 0
Geschrieben

Eigentlich ist das eine super Übung die du da hast. Dein Ziel sollte es sein erstmal das drumherum wirklich zu verstehen anstatt einfach nur deinen Aufruf erfolgreich durchzuführen. Alleine die Logmeldung auseinander zu friemeln und wirklich zu verstehen was jeder einzelne Wert überhaupt darstellt bzw. bedeutet erzeugt einen großen Lernerfolg.

Und dann solltest du auch einschätzen können ob das was da geblockt wird, wirklich der Grund für dein Problem sein könnte oder nicht.

  • 0
Geschrieben

zum Aufbau der Logs am Beispiel der ersten kompletten Zeile:
Aug 24 => Datum
15:29:10 => Uhrzeit
GW-01 => Hostname der Firewall
Kernel: [22061.253173] => Kernelzeit seit Boot
[UFW BLOCK] => durchgeführte Aktion (Blockiert)
IN=enp0s8 => Eingehendes Interface
OUT=enp0s8 => ausgehendes Interface
MAC=08:00:...  => MAC Address Codes für das Ziel
SRC=192.168.0.1 => Quell-IP-Adresse
DST=217.145.98.135 => Ziel-Adresse
LEN=66 => Länge des PAyloads
TOS=0x10 => Type of Service (keine Priorisierung bei 0x10)
PREC=0x00 => Precedence (auch so ein Prioritäten Feld, hier keine Priorisierung)
TTL=63 => Time to live noch 63 hops
ID=1511 => Identificationsnummer des Paketes
DF => keine Ahnung
Proto=UDP => UDP Protokoll
SPT=35924 => Source Port 
DPT=123 => Destination Port => Network Time Protocol (NTP) well known ports
LEN=56 =>  Länge des Pakets (hier könnte auch WINDOW stehen, dann wäre es die Window Size)

  • 0
Geschrieben

Du hast Input Rules erstellt, musst aber Forwarding Rules erstellen. Quasi "ufw route allow 80" usw.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...