[SOLVED] Firewall-Fragen

[bobx]

Hallo,

ich habe Schwierigkeiten, die Firewall zu nutzen. Die Regeln greifen nicht.

Kurz zum Setup:

Eine Maschine mit ProxMox Virtual Environment 5.1-41 ist installiert. Darauf verschiedene VMs. Eine VM ist eine Windows 10-Maschine. Dort möchte ich den Netzwerkverkehr begrenzen.

Zum Testen schicke ich von der Windows Maschine einen Ping auf unseren Gateway und von meiner Workstation pinge ich die Win-WM an.

Egal, was ich in den Firewalls einstelle, jeder Ping kommt weiter durch. Ich hab die ProxMox Wiki Seite zur FW gelesen. Bin mir jetzt nicht sicher, ob ich alles verstanden habe.

Ist es richtig, dass ich, um überhaupt mit einer Firewall arbeiten zu könne, die Firewall im ganzen Cluster erstmal aktivieren muss? Per GUI oder in der Commandline unter /etc/pve/firewall/cluster.fw.

Wenn ich hier in der GUI im meinem Cluster-Knoten in den Optionen der Firewall die Input/Output Policy auf DROP setze, dann geht auch wirklich nichts mehr. Das ist das einzige Lebenszeichen der Firewall. Aber dann ist auch mein Webinterface dicht. Also beide wieder auf ACCEPT gesetzt.

Ich habe dann in dem HOST-Knoten die Firewall aktiviert. In der VM habe ich die Firewall aktiviert UND bei der Netzwerkkarte auch den Haken bei Firewall gesetzt.

Die VM wurde neu gestartet.

In der VM sind die Optionen der Firewall Input/Output Policy auf DROP gesetzt. Scheint aber keinen Ping zu interessieren.

Dann habe ich verschiedene Regeln gesetzt. Einmal global im Cluster und lokal in der VM-Firewall. Das bringt aber auch keine Begrenzung.

Die nächste Frage ist, welches Interface muss man bei den Regeln angeben? In der VM hat meine Netzwerkkarte die Angabe net0. Das ganze ist aber doch über den Virtuellen Switch vmbr0 angeschlossen. Ist das dann nicht der richtige Interfacename? Gibt es sowas wie ein ANY? Einfach nichts eintragen?

Hier mal beispielhaft meine Regeln in der VM:

[OPTIONS]

enable: 1
policy_in: DROP
policy_out: DROP

[RULES]

IN Ping(DROP) -i net0 -source 192.168.1.8 -dest 192.168.10.
OUT Ping(DROP) -i net0 -source 192.168.1.10 -dest 192.168.1.1
OUT DROP
IN DROP

und hier vom Cluster.fw

[OPTIONS]

enable: 1
policy_in: ACCEPT

[RULES]

OUT Ping(DROP) -source 0.0.0.0 -dest 0.0.0.0
IN Ping(DROP) -source 0.0.0.0 -dest 0.0.0.0

Ist natürlich noch etwas sinnfrei, aber ich will erstmal überhaupt eine Reaktion bekommen.

Gibt eseigentlich irgendwo einen "Änderungen übernehmen"-Button? Ich kenn das von anderen FW (pfSense / OPNsense), dass man dort immer erst die geänderten Regeln übernehmen muss.


Kann einer von euch was erkennen? Was mach ich falsch?

Danke und Grüße
BobX

 

[Rufus Ebonhawk]

Hallo BobX,

wir haben mehrere Installation mit Proxmox, eine davon bei Hetzner und dort nutzen wir die Firewall. Am Anfang haben wir auch gestaunt, warum das nicht geht mit der Firewall. Aber nachdem wir alle Glaubenssätze über Bord geworfen haben und die Doku und Forenbeiträge in Ruhe studiert haben, gelang uns die Nutzung.

Ich schreib einfach mal wie wir das gemacht haben, ohne Dein Setup oben genauer zu studieren.

1. Firewall im Datacenter aktivieren
Firewall/Options: Yes
Firewall/Options/Input Policy: Drop
Firewall/Options/Output Policy: Accept

2. Im Datacenter Aliase anlegen
- Auf gute Namen achten
- IPv4 und IPv6 separat anlegen

3. Im Datacenter IPset anlegen
- Das sind gebündelte Aliase
- Auf gute Namen achten

4. Im Datacenter Security Groups anlegen
- Das sind Gruppen mit Regeln die überall angewendet werden können
- Also bestenfalls alle Regeln an zentraler Stelle definieren
- Für Source/Destination (je nachdem was gebraucht wird) IPset verwenden

5. In dem/einem Node Firewall aktivieren
- Firewall/Options: Yes

6. In der VM Firewall aktivieren
- Firewall/Options: Yes
- Hardware/Network Device: Firewall anklicken
nur bei der NIC anschalten für die Firewall gewünscht ist, wir haben immer zwei, auf der zweiten für ein internes Netz brauchen wir das nicht
- Firewall/Options/Input Policy: Drop
- Firewall/Options/Output Policy: Accept

Die Firewall kann also an vier Stellen aktiviert werden:

1. Datacenter
2. Node
3. VM
4. Netzwerkgerät

Die Security Groups werden auf der jeweiligen Ebene direkt im Navigationspunkt "Firewall" ausgewählte und aktiviert.
Security Groups die im Datacenter angewendet werden, vererben sich auf Node-Ebene, aber nicht auf die VMs! Dort müssen jeweils individuell Security Groups ausgewählt werden.

Eine gute Haltung ist vielleicht, immer nur die mindestnötige Konfiguration anzustreben. Sonst alles beim Default lassen.

Am Ende, wenn alles funktioniert wirkt der Aufbau logisch

Testen testen testen. Nach jeder Änderung wieder testen testen testen. Zum Testen eine Quelle aus den Management-Netzen nutzen und eine normale, auf die die Regeln zutreffen.

Immer eine ssh-Session offen halten, falls Du den Management-Zugang einmal versehentlich geschlossen hast. Dann kannst Du auf der Konsole die Firewall ausschalten.

Die IP/CIDR im IPset mit dem Namen "management" werden in der Firewall automatisch freigeschaltet für alle Management-Zugriffe (ssh, https, vnc glaube ich).

Also wir machen alles dicht und dann selektiv auf.

Denke das wars erstmal, ist erstmal eine größere Fummelei, dann läuft die Firewall aber gut.

Wenn Du noch Fragen hast melde Dich gerne.

 

[bobx]

Wow! Danke für Deine Ausführungen. Ok, ich buddel mich mal weiter durch. Klingt so, als ob ich doch auf dem richtigen Weg bin.

 

[bobx]

Argh! Es geht doch! Man darf nur nicht den Ping endlos laufen lassen. Der hat dann irgendwie eine offene Verbindung und die bleibt erhalten, egal, welche Regeln aktiviert werden.

Man! ... wieder ein Bißwunde im Schreibtisch

 

[LnxBil]

Firewall/Options/Input Policy: Drop

Vielleicht noch eine kleine Anmerkung:

Ich persönlich verwende immer REJECT da die Anwendung an der Gegenseite direkt eine Antwort bekommt und nicht erst noch ein Timeout abwarten muss.