Firewall mit GeoIP am Proxmox Host möglich?

[firebowl]

Hi,
ich habe mehrere LXCs und eine VM am laufen.
In einer LXC läuft ein Docker mit Nginx Proxy Manager und ich greife darüber auf verschiedene LXCs zu.
Das ganze klappt auch wunderbar nach anfänglichen Problemen.
Nun würde ich das ganze Konstrukt gern ein wenig absichern und bin auf die GeoIP Datenbank gestoßen.
Lässt sich das irgendwie direkt am Proxmox Host realisieren oder gibt es vielleicht passende Vorlagen für die Proxmox eigene Firewall über die GUI?
Ich habe schon versucht geoip und iptables in dem Container zum Laufen zu bekommen, in dem Docker läuft aber funktioniert scheinbar nicht weil das nötige xtables-addon mit dem proxmox Kernel nicht läuft bzw. ich mich zu dämlich dafür anstelle.
Hab schon diverse Anleitungen durch aber spätestens wenn ich die runtergeladenen und angepassten geoip Daten habe, kann ich sie nicht in iptables importieren.

 

[noPa$$word]

Eine Möglichkeit wäre z. B. du installierst Ipfire. Die hat z. B. GeoIP dabei.

 

[firebowl]

Danke für den Tip.
Versuche ich seit gestern zum laufen zu bekommen aber ich stell mich zu doof an.
Ich hab eine Portweiterleitung (NAT) über Ipfire eingerichtet und laut den Firewall Logs wird auch weitergeleitet aber an meinem Webserver kommt nichts an. Der Browser läuft auch einfach ins leere.

Abgesehen, dass Ipfire scheinbar kein Geoblocking mehr kann. Unabhängig vom Problem das ich meinen Webserver nicht erreiche, wird nichts geblockt. Wenn ich per VPN mit einer IP aus einem gesperrten Land komme, wird die Verbindung zugelassen.
Nach dem was ich gelesen habe, können sie ihre Daten wohl nicht mehr aktualisieren.

 

[firebowl]

Nochmal ne Aktualisierung von mir.
Mit Ipfire hab ich es nicht hinbekommen aber dafür mit OPNsense.
Läuft jetzt einwandfrei und hat direkt auch nen funktionierenden NGINX als Plugin dabei. Somit zwei Fliegen mit einer Klappe bei mir erschlagen.

 

[pascal585]

Hey firebowl, darf ich fragen, ob du OPNsense als VM/LXC installiert hast oder auf dedizierter Hardware?
Stehe aktuell vor demselben Problem.

 

[Dunuin]

OPNsense läuft wunderbar in einer VM (LXC geht nicht weil FreeBSD und nicht Linux) und wenn man möchte sogar HA über pfsync mit virtuellen IPs.

 

[pascal585]

Und leitet ihr euren gesamten Traffic aus dem Heimnetz darüber oder nur den Traffic ausgewählter Geräte.

Hintergrund: Ich überlege derzeit mir eine Firewall einzurichten. Allerdings ist die Frage offen, ob als VM oder auf dedizierte Hardware.

 

[Dunuin]

Ich alles an Traffic, ersetzt also den Router vom ISP. Würde ich aber auch nur machen, wenn man die OPNsense wirklich HA betreibt. Weil hast du irgendein Problem mit dem Server, was ja endlose Hardware- oder Software-Ursachen haben kann, dann kannst du die OPNsense VM ja auch nicht mehr nutzen und wenn du dann erst Hardware tauschen und PVE neu aufsetzen musst, was dann Tage oder Wochen dauern kann, dann wärst du für die ganze Zeit komplett daheim offline. So ein ISP Router ist da ja viel Fehlerunanfälliger und geht der mal kaputt holt man sich vom Servicecenter halt spontan Ersatz und tauscht den schnell aus wo dann alles wieder in Minuten eingerichtet ist (oder in Sekunden wenn man Backups der Konfigs macht).
Bei mir läuft eine OPNsense VM auf dem TrueNAS Core Server und eine OPNsense VM auf dem PVE Server und die laufen parallel und halten sich per pfsync synchron. Fällt eine OPNsense VM aus, dann übernimmt die andere innerhalb einer Sekunde dessen Stelle und es gibt keinerlei Verbindungsabbrüche und alles läuft ungestört weiter. Würde mir da also ein Server komplett ausfallen, dann hätte ich immer noch LAN und Internet. Und selbst wenn kein Server ausfällt ist es sehr praktisch, da man auch mal für ein Backup oder Wartungsarbeiten eine VM/Server runterfahren kann, ohne da irgendwie die Konnektivität zu verlieren.