[SOLVED] Firewall funktioniert nicht

V

Vengance

Well-Known Member
May 21, 2016
270
11
58
33
Hallo,

Da ich kürzlich eine Abmahnung wegen eines offenen Portmappers erhalten habe, wollte ich die Proxmox Firewall aktivieren um den Zugriff auf den Portmapper zu begrenzen.

Ich habe folgende Einstellungen gesetzt:

Code: 
[OPTIONS]

enable: 1
policy_in: ACCEPT

[RULES]

IN DROP -i enp2s0 -p udp -dport 111
IN DROP -i enp2s0 -p tcp -dport 111

Ein entsprechender Port Scan auf meine IP zeigt allerdings immernoch den offenen Portmapper Dienst an.

Code: 
rpcinfo -T udp -p x.x.xx.xx
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper

Code: 
pve-firewall status
Status: enabled/running

Habe ich eine Einstellung übersehen?

Grüße und vielen Dank!
 
Hi,

kann es sein das du the "rpcinfo" Test von der gleichen Node fährst? Da der Kernel sieht dass die Adresse eh lokal "resolved" werden die requests nie über das Interface raus (und dann wieder rein) geschickt somit greif die Regel nicht. Probier es mal bitten von außen, kann auch im gleichen Netzwerk sein (oder eine VM im gleichen Netz).

Ansonsten schauen ob die Regel überhaupt aktiv ist:
Code: 
iptables-save | grep 111
[code]
 
Hi, die Regel ist aktiv.

Code: 
-A PVEFW-HOST-IN -i enp2s0 -p udp -m udp --dport 111 -j DROP
-A PVEFW-HOST-IN -i enp2s0 -p tcp -m tcp --dport 111 -j DROP

Ich habe den Test nun nochmal von einer VM wiederholt, aber selbes Ergebnis
Code: 
rpcinfo -T udp -p x.x.xx.xx
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  45805  status
    100024    1   tcp  47129  status
    100021    1   udp  53903  nlockmgr
    100021    3   udp  53903  nlockmgr
    100021    4   udp  53903  nlockmgr
    100021    1   tcp  38539  nlockmgr
    100021    3   tcp  38539  nlockmgr
    100021    4   tcp  38539  nlockmgr
 
Ich habe die Firewall Regel auf Datacenter Level eingetragen, daher dachte ich das enp2s0 das richtige Quell Interface des Hostsystems ist.
 
Vengance said:
Ich habe die Firewall Regel auf Datacenter Level eingetragen, daher dachte ich das enp2s0 das richtige Quell Interface des Hostsystems ist.
Click to expand...

Das ist eigentlich so auch OK, nur wenn du den Test ob es auch funktioniert über eine VM am selben Host fahren willst geht das nicht da im unseren Default Setup dein enp2s0 vmbr0 als master hat und die IP eigentlich dort konfiguriert ist. vmbr0 kannst du dir vereinfacht wie einen Switch vorstellen wo (standardmäßig) alle VMs angestöpselt sind. Kommunikation zwischen VM und host, falls im gleichen CIDR Netz, geht daher nur über die Bridge, nie über enp2s0. Also um die Konfiguration mit enp2s0 zu testen musst du wirklich von außen anfragen, sodass die paket quasi physisch über enp2s0 wandern müssen.

Zum schnellen Test hab ich das interface einfach weggelassen, so dass die Regel auf alles matched was von außen reinkommt, daher hat es bei mir über die VM funktioniert.
 
Danke, das scheint nun zu funktionieren.

Ich habe nun testweise bei einer einzelnen VM eine Firewall Regel erstellt um bspw. den einghehenden HTTP Traffic zu blockieren, doch die Regel scheint nicht zu greifen, ich kann den Webserver wie gewohnt erreichen.
Code: 
 ~ # cat /etc/pve/firewall/101.fw
[RULES]

IN HTTP(DROP)
 
Vengance said:
Ich habe nun testweise bei einer einzelnen VM eine Firewall Regel erstellt um bspw. den einghehenden HTTP Traffic zu blockieren, doch die Regel scheint nicht zu greifen, ich kann den Webserver wie gewohnt erreichen.
Click to expand...

Hast du sowohl die VM Firewall unter VM->Firewall->Options als auch auf der VM NIC unter VM -> Hardware -> Networ Device (Edit oder doppel klick) enabled?

Das bei de VMr NIC könnte man wo möglicherweise default auf an stellen, da eh noch die VM firewall selber aktiviert werden muss, hat glaub ich schon ein paar Leute verwirrt.
 
  • Like
Reactions: Vengance
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back