Netzwerkkonfigration / Firewall Problem Hetzner

M

Malte

Active Member
Oct 23, 2017
1
0
41
Moin Moin zusammen,
nachdem ich schon viele sehr nützliche Informationen hier im Forum gefunden habe, auch rund um dieses Thema, muss ich nun doch mein erstes Problem, hier rein stellen.

Ich bekomme die Firewall nicht in der Form zum laufen, in der ich sie gerne hätte. Da die Software keine Fehler macht sondern immer der Admin, such ich also danach, was ich falsch mache.

Ich möchte alle Ports schließen die nicht zwingend gebraucht werden vor allen Port 111 rpcbind.
Auch wenn ich die Firewall aktiviere, bleibt der port für TCP und UDP offen wohingegen einige Ports die ich gezielt geöffnet habe und an eine VM durchgereicht sind, nicht mehr durch kommen.
Weiterhin möchte ich IPv4 und IPv6 nutzen und später über VPN (vermutlich Tinc) einen 2. Server zur Replikation anbinden.

Die Konfiguration der Firewall habe ich ausschließlich über die Weboberfläche vorgenommen.

Mein Server steht bei Hetzner, was das Netzwerk nicht unbedingt einfacher macht.

Hier die Versionen
Code: 
sudo pveversion -v
proxmox-ve: 5.2-2 (running kernel: 4.15.17-2-pve)
pve-manager: 5.2-2 (running version: 5.2-2/b1d1c7f4)
pve-kernel-4.15: 5.2-3
pve-kernel-4.13: 5.1-45
pve-kernel-4.15.17-3-pve: 4.15.17-13
pve-kernel-4.15.17-2-pve: 4.15.17-10
pve-kernel-4.15.17-1-pve: 4.15.17-9
pve-kernel-4.15.15-1-pve: 4.15.15-6
pve-kernel-4.13.16-3-pve: 4.13.16-49
pve-kernel-4.13.16-2-pve: 4.13.16-48
pve-kernel-4.13.13-6-pve: 4.13.13-42
pve-kernel-4.13.13-5-pve: 4.13.13-38
pve-kernel-4.13.13-4-pve: 4.13.13-35
pve-kernel-4.13.13-3-pve: 4.13.13-34
pve-kernel-4.13.13-1-pve: 4.13.13-31
pve-kernel-4.13.8-3-pve: 4.13.8-30
pve-kernel-4.13.4-1-pve: 4.13.4-26
pve-kernel-4.10.17-4-pve: 4.10.17-24
pve-kernel-4.10.17-3-pve: 4.10.17-23
pve-kernel-4.10.17-2-pve: 4.10.17-20
corosync: 2.4.2-pve5
criu: 2.11.1-1~bpo90
glusterfs-client: 3.8.8-1
ksm-control-daemon: 1.2-2
libjs-extjs: 6.0.1-2
libpve-access-control: 5.0-8
libpve-apiclient-perl: 2.0-4
libpve-common-perl: 5.0-33
libpve-guest-common-perl: 2.0-16
libpve-http-server-perl: 2.0-9
libpve-storage-perl: 5.0-23
libqb0: 1.0.1-1
lvm2: 2.02.168-pve6
lxc-pve: 3.0.0-3
lxcfs: 3.0.0-1
novnc-pve: 1.0.0-1
proxmox-widget-toolkit: 1.0-19
pve-cluster: 5.0-27
pve-container: 2.0-23
pve-docs: 5.2-4
pve-firewall: 3.0-12
pve-firmware: 2.0-4
pve-ha-manager: 2.0-5
pve-i18n: 1.0-6
pve-libspice-server1: 0.12.8-3
pve-qemu-kvm: 2.11.1-5
pve-xtermjs: 1.0-5
qemu-server: 5.0-28
smartmontools: 6.5+svn4324-1
spiceterm: 3.0-5
vncterm: 1.5-3
zfsutils-linux: 0.7.9-pve1~bpo9

Code: 
auto lo
iface lo inet loopback
iface lo inet6 loopback

iface enp6s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address  5.9.xx.173
        netmask  255.255.255.224
        gateway  5.9.xx.161
        bridge_ports enp6s0
        bridge_stp off
        bridge_fd 1
        pointopoint 5.9.xx.161
        bridge_hello 2
        bridge_maxage 12
        up route add -net 5.9.xx.160 netmask 255.255.255.224 gw 5.9.xx.161 dev vmbr0
        #up route add -net 5.9.xx.188 netmask 255.255.255.224 gw 5.9.xx.161 dev vmbr0
        up ip route add 5.9.xx.188/32 dev vmbr0
        # route 5.9.xx.160/27 via 5.9.xx.161

iface vmbr0 inet6 static
        address  2a01:4f8:xxx:xxx::2
        netmask  64
        gateway  fe80::1

auto vmbr1
iface vmbr1 inet static
        address  172.16.179.1
        netmask  255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up   iptables -t nat -A POSTROUTING -s '172.16.179.0/24' -o vmbr0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.179.0/24' -o vmbr0 -j MASQUERADE

       post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 80 -j DNAT --to 172.16.179.100:80
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 80 -j DNAT --to 172.16.179.100:80
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 443 -j DNAT --to 172.16.179.100:443
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 443 -j DNAT --to 172.16.179.100:443
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 8000 -j DNAT --to 172.16.179.100:8000
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 8000 -j DNAT --to 172.16.179.100:8000
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 8080 -j DNAT --to 172.16.179.100:8080
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 8080 -j DNAT --to 172.16.179.100:8080
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 389 -j DNAT --to 172.16.179.103:389
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 389 -j DNAT --to 172.16.179.103:389
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 636 -j DNAT --to 172.16.179.103:636
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 626 -j DNAT --to 172.16.179.103:626

        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p udp --dport 9987 -j DNAT --to 172.16.179.110:9987
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p udp --dport 9987 -j DNAT --to 172.16.179.110:9987
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 30033 -j DNAT --to 172.16.179.110:30033
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 30033 -j DNAT --to 172.16.179.110:30033
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 10011 -j DNAT --to 172.16.179.110:10011
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 10011 -j DNAT --to 172.16.179.110:10011
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 41144 -j DNAT --to 172.16.179.110:41144
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 41144 -j DNAT --to 172.16.179.110:41144
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 9300 -j DNAT --to 172.16.179.200:9300
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 9300 -j DNAT --to 172.16.179.200:9300
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 8840 -j DNAT --to 172.16.179.200:8840
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 8840 -j DNAT --to 172.16.179.200:8840
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 9840 -j DNAT --to 172.16.179.200:9840
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 21 -j DNAT --to 172.16.179.200:21
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 21 -j DNAT --to 172.16.179.200:21
        post-up iptables -t nat -A PREROUTING -d 5.9.xx.173 -p tcp --dport 60000:60500 -j DNAT --to 172.16.179.200:60000-60500
        post-down iptables -t nat -D PREROUTING -d 5.9.xx.173 -p tcp --dport 60000:60500 -j DNAT --to 172.16.179.200:60000-60500

In der Firewall Config sind auf der Ebene Rechenzentrum, Accepts angelegt für:
tcp ports 8840, 9300, 22, 8006
Makros FTP, HTTPS, HTTP
Accept für icmp
Drop für TCP und UDP 111
Drop All

Die accepts stehen oben, die Drops unten
Input Policy: DROP
Output Policy ACCEPT

Keine Security Gruppen, Alias oder IPsets

Nun zum eigentlichen Problem.
Einige Ports kann ich nachweislich gezielt schließen, wenn ich die Accept regel entferne, bei Port 111 gelingt das nicht.
Anders herum Port 9300 und 8840, kommen nicht mehr an der KVM an, sobald ich die Firewall einschalte und egal auf welcher Ebene ich die Ports noch auf accept setze.

Ich hoffe jemand kann mir helfen.

Viele Grüße
Malte
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back