Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
kelvin
Beiträge: 10
Registriert: 09.06.2021 03:02:20

Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von kelvin » 09.06.2021 03:37:41

Hallo,

es gibt zwar schon ein paar ähnliche Themen, ich bräuchte aber dennoch euren Rat.

Ich nutze OpenVPN und möchte auch in Zukunft (also wenn Bullseye stable ist) über die Firewall einen Killswitch nutzen.

Soll heißen, sollte die Verbindung zum VPN-Server zusammenbrechen, soll erst mal keinerlei Datenverkehr mehr erlaubt sein (weder eingehend noch ausgehend).

Über die VPN-Schnittstelle tun0 soll ausgehender Datenverkehr erlaubt sein (aber kein eingehender).

Ausserhalb von tun0 soll nur der Verbindungsaufbau zum VPN-Server erlaubt sein.

Bisher bzw. unter Buster habe ich das mittels UFW so gemacht:

Code: Alles auswählen

ufw default deny outgoing
ufw default deny incoming
ufw allow out on tun0 from any to any
ufw allow out from any to 1.2.3.4
(1.2.3.4 ist ein Beispiel für die IP-Adresse des VPN-Servers).

Jetzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.

Somit wäre UFW unter Bullseye nicht mehr funktional, da es ja nur ein Frontend für iptables ist.

Meine Frage an euch wäre nun, was ihr mir raten würdet.

Sollte ich nftables/firewalld nutzen und wenn ja, wie kann ich damit den selben Effekt wie jetzt mit UFW erzielen? (ich bräuchte in diesem Fall bitte genaue Anweisungen).

Oder sollte ich unter Bullseye iptables manuell nachinstallieren, um weiterhin UFW nutzen zu können?

Danke im Voraus

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von MSfree » 09.06.2021 09:22:17

kelvin hat geschrieben: ↑ zum Beitrag ↑
09.06.2021 03:37:41
Hallo,etzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.
Wo hast du das gehört?
Es gibt auch unter Bullseye nach wie vor iptables.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von mat6937 » 09.06.2021 10:11:23

kelvin hat geschrieben: ↑ zum Beitrag ↑
09.06.2021 03:37:41
Jetzt habe ich gehört, dass Bullseye sich komplett von iptables verabschiedet und nur noch auf nftables setzt.
Evtl. ist das:
The iptables version string will indicate whether the legacy API (get/setsockopt) or the new nf_tables API is used.
iptables v1.7 (legacy)
iptables v1.8.2 (nf_tables)
gemeint. Wie sind auf deinem Bullseye die Ausgaben von:

Code: Alles auswählen

iptables -V
which iptables-legacy
?

kelvin
Beiträge: 10
Registriert: 09.06.2021 03:02:20

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von kelvin » 09.06.2021 23:59:33

MSfree hat geschrieben: ↑ zum Beitrag ↑
09.06.2021 09:22:17
Wo hast du das gehört?
Es gibt auch unter Bullseye nach wie vor iptables.
Mein Fehler, da hatte ich etwas durcheinander gebracht.

Gibt es unter Bullseye auch standardmäßig iptables-nft? Dann könnte UFW ja weiterhin ganz normal genutzt werden, oder?
mat6937 hat geschrieben: ↑ zum Beitrag ↑
09.06.2021 10:11:23
Wie sind auf deinem Bullseye die Ausgaben von:

Code: Alles auswählen

iptables -V
which iptables-legacy
?
Ich habe Bullseye bisher noch nicht installiert, werde es aber in den nächsten Tagen tun und es dann prüfen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von MSfree » 10.06.2021 08:04:10

kelvin hat geschrieben: ↑ zum Beitrag ↑
09.06.2021 23:59:33
Gibt es unter Bullseye auch standardmäßig iptables-nft?
iptables-nft ist Bestandteil des iptables-Pakets.
Dann könnte UFW ja weiterhin ganz normal genutzt werden, oder?
Davon würde ich ausgehen.

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von uname » 10.06.2021 09:39:28

Also ich nutze aktuell kein VPN.

Aber ist das ganze nicht eher eine Routing- als eine Firewall-Frage.
Kann man es nicht einfach so konfigurieren, dass wenn das VPN zusammenbricht, es keine Routen mehr ins Internet gibt?
Dann braucht man meiner Meinung nach auch eigentliche keine Firewall mehr, die dieses indirekt realisiert.

Oder sehe ich das ganz falsch?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von MSfree » 10.06.2021 09:52:18

uname hat geschrieben: ↑ zum Beitrag ↑
10.06.2021 09:39:28
Aber ist das ganze nicht eher eine Routing- als eine Firewall-Frage.
Man kann auch den VPN-Verkehr, der bei OpenVPN standardmässig über den UDP-Port 1194 geht, sperren. Damit verhindert man dann auch gleichzeitig, daß man sich anmelden kann.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von mat6937 » 10.06.2021 10:00:38

uname hat geschrieben: ↑ zum Beitrag ↑
10.06.2021 09:39:28
Kann man es nicht einfach so konfigurieren, dass wenn das VPN zusammenbricht, es keine Routen mehr ins Internet gibt?
Es heißt ja, dass man eine Firewall nicht mit einer Blockaderoute ersetzen soll. Aber man könnte ja mal probieren, was passiert wenn man für die default route, "reject" benutzt.

kelvin
Beiträge: 10
Registriert: 09.06.2021 03:02:20

Re: Killswitch für OpenVPN unter Bullseye - UFW oder firewalld?

Beitrag von kelvin » 11.06.2021 00:48:25

MSfree hat geschrieben: ↑ zum Beitrag ↑
10.06.2021 08:04:10
Davon würde ich ausgehen.
Okay, ich werde die nächsten Tage mal Bullseye installieren und es ausprobieren.

Danke an alle, die sich die Zeit genommen haben (auch wenn der Thread auf eine Fehlinterpretation meinerseits zurückzuführen war).

Antworten