Firewall greift nicht

May 4, 2021
4
0
1
39
Hallo zusammen,

ich habe einen neuen Proxmox-Server grundinstalliert. Angebunden ist er über ein bond0 von 2 x 10GBit, das als Port in vmbr0 konfiguriert ist: Hier die Konfiguration:

auto bond0
iface bond0 inet manual
slaves enp175s0f0 enp175s0f1
bond mode 802.3ad
bond-miimon 100
bond-downdelay 200
bond-updelay 200
bond-lacp-rate 1
bond-xmit-hash-policy layer 3+4

auto vmbr0
iface vmbr0 inet static
address xxx.xxx.xxx.xxx/24
gateway xxx.xxx.xxx.xxx
bridge_ports bond0
bridge_stp off
bridge_fd 0
bridge_vlan_aware yes



Das klappt auch wunderbar, die Maschine ist per ssh und webinterface unter IP und DNS-Namen zu erreichen. Cisco-Firewall kostet nochmal extra und da ich im Moment ein recht primitives Setup habe (meine permanente IP von Zuhause darf auf Port22 und 8006 rein, alles andere bleibt geschlossen.) habe ich mich entschlossen die paar Regeln selber zu setzen. Ich denke mit iptables eigentlich recht gut vertraut zu sein. Zwei Ausnahme auf IN für meine IP, Port 22 und 8006, alles andere soll nicht an die Maschine. Im Notfall gehe ich über IPMI auf die Konsole.

Ich habe die attachten Firewall-Regeln erstellt und den pve-firewall-Dienst neugestart. Dann auf die Konsole, aber iptables -L zeigt nichts an. Auch ein Neustart bringt keine Veränderung.

1) Habe ich das richtige Interface ausgewählt? Ich habe es auch schon mit vmbr0 ausprobiert, aber das hat auch nicht funktioniert.
2) Was muß ich machen damit meine Firewall-Regeln greifen?

Viele Grüße
Stefan Schumacher
 

Attachments

  • firewall-regeln.jpg
    firewall-regeln.jpg
    19.7 KB · Views: 7
May 4, 2021
4
0
1
39
Unter /etc/pve/nodes/zeus/host.fw habe ich folgende Einträge gemacht:

[OPTIONS]
enable: yes
[RULES]
IN ACCEPT -i bond0 -source 87.79.xx.xx -p tcp -dport 8006 -log nolog
IN ACCEPT -i bond -source 87.79.xx.xx -p tcp -dport 22 -log nolog
IN DROP -log nolog
OUT ACCEPT -log nolog

Einen Cluster gibt es noch nicht, das ist für mich der erste Server bei meinem neuen Arbeitgeber.
/etc/pve/firewall/cluster.fw ist auch nicht vorhanden.



Viele Grüße
Stefan
 
May 4, 2021
4
0
1
39
Mach das mal über das Webinterface. Einmal unter Datacenter und dann halt noch unter dem Hostobjekt selbst. Schau da ob deine Regeln da drin stehen.
Hallo Leon,

Habe ich im Datacenter aktiviert. Ergebnis, ich komme weder auf meinen eigenen Server noch läßt sich dieser pingen. Der Eintrag
im Webinterface ändert die Formatierung wie folgt:

[OPTIONS]

enable: 1

[RULES]

IN ACCEPT -i bond0 -source 87.79.xxx.xxx -p tcp -dport 8006 -log nolog
IN ACCEPT -i bond0 -source 87.79.xxx.xxx -p tcp -dport 22 -log nolog
IN DROP -log nolog
OUT ACCEPT -log nolog

Jetzt bin ich mit dem IPMI auf die Konsole gegangen und habe die Regeln für den Host deaktiviert ( enable: 0) und jetzt kann ich auch wieder per SSH auf meinen eigenen Server.

Beim nächsten Versuch habe ich das -Source 87.... rausgenommen und enable : 1 gesetzt. Ergebnis: Ich komme wieder nicht auf meinen Server, glücklicherweise sperrt er die noch vorhandene SSH-Session nicht. Zusätzlich habe ich mir durch das Aktivieren der globalen Firewall geschätzte 100
weitere Regeln eingefangen, die wohl der globale Firewall definiert.

Wäre jemand der Mitlesenden, der ein ähnliches Setup hat (22,8006 von bestimmten IPs, sonst alles zu), so freundlich hier mal seine host.fw zu posten?

Mein Setup ist ein wenig dadurch kompliziert, daß mein Provider intern andere IPs verwendet. Die werden dann per NAT auf die richtige externe IP umgebogen, damit kommt man problemlos rein als auch raus. Aber das sollte ja keine Rolle spielen wenn ich die Source rausnehme, schließlich sollte damit der Firewall auf den beiden Ports Verbindung von überall her annehmen.

Viele Grüße
Stefan
 
Mar 14, 2019
793
96
33
43
Aber immerhin geht die Firewall ja jetzt.
Ich würde versuchen weniger über das Konfigfile direkt zu machen als mehr über das Webinterface. Im Grunde aktivierst du über Datacenter global die Firewall und dann stellst du direkt im Host die Regeln ein und aktivierst da für den Host.
 
May 4, 2021
4
0
1
39
Ich habe sowohl die Regeln in der host.fw als auch die Aktivierung der Globalen Regeln über das Webinterface gemacht. Zu ssh + Nano gegriffen habe ich erst als ich durch das globale Aktivieren der Regeln aus meinem eigenen Server ausgesperrt war und über IPMI und Konsole den Zugriff wieder freischalten mußte. Und so dankbar ich für deine Hilfe auch bin, aber "gehen" würde er eigentlich nur dann wenn er alle außer mit und nicht inklusive mir vom Zugang abhalten würde.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!