[gelöst] arno-iptables-firewall

[niesommer]

Hallo,
Ich rächte dringend hilfe, ich habe hier einen alten Laptop von einem Bekannten auf dem habe ich von Debian Wheezy auf Jessie geupgraded läuft alles soweit so gut.
Auf dem Gerät läuft also ein 32bit Debian Jessie mit KDE. Nun sollte ich dort noch eine kleine Firewall draufpacken, da ich davon nicht soviel ahnung habe habe ich arno-iptables-firewall installiert und konfiguriert. Soweit funktioniert auch alles, bis auf das die Firewall nicht gestartet wird wenn ich den Rechner Neustarte.
So ich Editiere gleich nochmal um ein paar infos noch nachzutragen, bitte einen kleinen Moment geduldt.

Code: Alles auswählen

/etc/init.d/arno-iptables-firewall status
● arno-iptables-firewall.service - LSB: Setup iptables firewall configuration
   Loaded: loaded (/etc/init.d/arno-iptables-firewall)
   Active: inactive (dead)

Code: Alles auswählen

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

Wenn ich die jetzt von BHand starte :

Code: Alles auswählen

/etc/init.d/arno-iptables-firewall start
[ ok ] Starting arno-iptables-firewall (via systemctl): arno-iptables-firewall.service.

Dann sieht das ergebniss so aus: pastebin.php?mode=view&s=38586

Ich habe noch andere Rechner bei denen ich das auch gleich nochmal überprüft habe, und alles ok ist.
Was muss ich nun tun damit arno-iptables-firewall auch beim nächsten rechnerstart mit gestartet wird?
Wenn ich noch infos nach liefern soll, müsst ihr mir das mitteilen.

[rendegast]

Ist vielleicht nicht aktiviert (systemd)

Code: Alles auswählen

systemctl enable arno-iptables-firewall

[orcape]

Hi,

Was muss ich nun tun damit arno-iptables-firewall auch beim nächsten rechnerstart mit gestartet wird?

Arno startet bei aktivieren der Startfunktion bei hochfahren der Interfaces automatisch, wenn das so gewollt und einstellt ist.
Dazu sollten aber alle eventuell genutzten Interfaces eingetragen sein, wie z.B. eth0, wlan0, ppp0 etc..
Dabei kannst Du auch eventuelle Ports freigeben.
Für ganz normalen Internetbetrieb brauchst Du da gar nichts einstellen.
Gib einfach als Root.....

Code: Alles auswählen

dpkg-reconfigure arno-iptables-firewall

...ein.
Dann sollte das problemlos funktionieren.
Gruß orcape

[GregorS]

Ahoi!

Vorweg: Wenn Du firewallen willst, solltest Du Dir unbedingt wenigstens ein paar Grundlagen aneignen (-> man iptables). Das ist absolut kein Hexenwerk, eher ziemlich simpel.

EDIT: Das Hardware-Setup ist simpel:

Internet (T-Würg-Router)<----->eth1 RPi eth0<-----> Lokales Netz

Ich habe bei mir einen RPi laufen, der mein (total liebes) Netzwerk vom (abgrundtief bösen) Internet trennt. Momentan habe ich dort noch keinerlei Regeln zum Filtern laufen, d. h. iptables -L ergibt

Code: Alles auswählen

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Da wird schlichtweg nichts gefiltert oder verbogen. Damit die Chose läuft, ist wichtig, dass der Netzwerkverkehr maskiert wird (Stichworte „masquerade“ oder „NAT“ [Network-Address-Translation]). Somit sieht das externe Netz nur den RPi und es sieht von außen so aus, als würde alles nur von diesem einen Rechner kommen.

iptables -L -t nat ergibt

Code: Alles auswählen

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  localnet/24          anywhere            
MASQUERADE  all  --  192.168.0.0/24       localnet/24         
MASQUERADE  all  --  localnet/24          anywhere            
MASQUERADE  all  --  192.168.0.0/24       localnet/24         
MASQUERADE  all  --  192.168.0.0/24       anywhere            
MASQUERADE  all  --  192.168.0.0/24       192.168.0.0/24

Die Regeln, die dort stehen, bedeuten zum Beispiel (erste Regel der POSTROUTING-Chain), dass alle Pakete, die vom lokalen Netzwerk (das liebe) nach irgendwo (das böse anywhere) gehen, maskiert werden.

In /etc/rc.local stehen hierfür die Zeilen

Code: Alles auswählen

# Masquerading+Forwarding

sysctl net.ipv4.ip_forward=1
#iptables -A FORWARD -s 192.168.211.0 -o eth1 -j DENY
iptables -t nat -A POSTROUTING -s 192.168.205.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.205.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j MASQUERADE

Guck Dir nur mal eine iptables-Zeile vollständig an und guck in der Manpage von iptables nach, was das bedeutet. Ist für ein erstes funktionierendes Setup wirklich poplig.

HTH

Gregor

[niesommer]

Ist vielleicht nicht aktiviert (systemd)

Code: Alles auswählen

systemctl enable arno-iptables-firewall

Habe ich nochmal gemacht:

Code: Alles auswählen

systemctl enable arno-iptables-firewall
Synchronizing state for arno-iptables-firewall.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d arno-iptables-firewall defaults
Executing /usr/sbin/update-rc.d arno-iptables-firewall enable

bringt leider keinen erfolg. Rechner neugestartet mit dem ergebnis das scheinbar arno-iptables-firewall nicht mit gestartet wird.

Allerdings bekomme ich folgende ausgabe:

Code: Alles auswählen

journalctl -b -p err
-- Logs begin at Do 2015-06-11 15:16:57 CEST, end at Do 2015-06-11 15:18:26 CEST. --
Jun 11 15:16:57 debian systemd[1]: Job rpcbind.service/start deleted to break ordering cycle starting with basic.target/start
Jun 11 15:16:57 debian systemd[1]: Job arno-iptables-firewall.service/start deleted to break ordering cycle starting with basic.target/start
Jun 11 15:17:03 debian laptop-mode[1525]: Failed.
Jun 11 15:17:10 debian pulseaudio[1759]: [autospawn] core-util.c: Home directory not accessible: Keine Berechtigung
Jun 11 15:17:10 debian pulseaudio[1759]: [pulseaudio] main.c: Failed to acquire autospawn lock
Jun 11 15:17:54 debian pulseaudio[3556]: [pulseaudio] authkey.c: Failed to truncate cookie file: Das Argument ist ungültig
Jun 11 15:17:56 debian pulseaudio[3559]: [pulseaudio] authkey.c: Failed to truncate cookie file: Das Argument ist ungültig

Hier gibt es also einige fehler, keine Ahnung wie ich die beheben soll.

[GregorS]

...
Hier gibt es also einige fehler, keine Ahnung wie ich die beheben soll.

Ganz egal. Wenn es um Sicherheit (oder auch nur Komfort) geht, solltest Du Dich wenigstens rudimentär damit auskennen. Und eine Abartszauberei ist das echt nicht.

Gruß

Gregor

[niesommer]

Hi,

Was muss ich nun tun damit arno-iptables-firewall auch beim nächsten rechnerstart mit gestartet wird?

Arno startet bei aktivieren der Startfunktion bei hochfahren der Interfaces automatisch, wenn das so gewollt und einstellt ist.
Dazu sollten aber alle eventuell genutzten Interfaces eingetragen sein, wie z.B. eth0, wlan0, ppp0 etc..
Dabei kannst Du auch eventuelle Ports freigeben.
Für ganz normalen Internetbetrieb brauchst Du da gar nichts einstellen.
Gib einfach als Root.....

Code: Alles auswählen

dpkg-reconfigure arno-iptables-firewall

...ein.
Dann sollte das problemlos funktionieren.
Gruß orcape

Ja, das habe ich auch nochmal abgearbeitet und jetzt nur noch eine Externe Schnittstelle angegeben eth0
vorher hatte ich zwei angegeben eth0 wlan0
Der Laptop besitzt noch eine WLAN karte. An erlaubten Ports/Protokollen habe ich nichts angegeben da niemand von aussen auf den Rechner soll, der Rechner ist auch nicht anpingbar. Interne schnittstelle habe ich leer gelassen der rechner besitzt nur eine LAN und WLAN karte.
Das ergebnis ist nach wievor das selbe + Fehlerausgabe bei journalctl (siehe vorige antwort), arno-iptables-firewall wird nicht gestartet. Von hand funktioniert alles.

[niesommer]

...
Hier gibt es also einige fehler, keine Ahnung wie ich die beheben soll.

Ganz egal. Wenn es um Sicherheit (oder auch nur Komfort) geht, solltest Du Dich wenigstens rudimentär damit auskennen. Und eine Abartszauberei ist das echt nicht.

Gruß

Gregor

Als erstes nein ich möchte kein Router aufbauen, zum anderen bin ich schon in der Lage die Konfiguration von arno-iptables-firewall erfolgreich zu absolvieren, das mache ich schon ein paar jahre.
Früher habe ich mich versucht damit auseinanderzusetzen, und habe mir diverse Bücher gekauft und damit so wie es dort beschrieben war mir eine Firewall zu bauen, alles leider ohne erfolg, bis ich es irgendwann aufgegeben habe und mir sachen gesucht habe die mir meine konfiguration generieren, damit bin ich in den letzten jahren sehr gut gefahren.

Der Punkt hier ist ja auch eher das die Firewall von systemd nicht gestartet wird, was aber sicher nicht schuld von systemd ist denn die machen immer alles richtig gut.
Denn wenn ich das ganze von hand starte dann funktioniert es ja auch so wie es soll:

Code: Alles auswählen

systemctl status arno-iptables-firewall
● arno-iptables-firewall.service - LSB: Setup iptables firewall configuration
   Loaded: loaded (/etc/init.d/arno-iptables-firewall)
   Active: active (exited) since Do 2015-06-11 15:42:25 CEST; 28s ago
  Process: 6003 ExecStart=/etc/init.d/arno-iptables-firewall start (code=exited, status=0/SUCCESS)

Jun 11 15:42:25 debian arno-iptables-firewall[6003]: Starting Arno's Iptables Firewall: arno-iptables-firewall.

[niesommer]

Also ich habe jetzt noch mal eine bisschen gesucht im Netz mit verschiedenen Maschinen, die mir alle in etwa das gleiche resultat brachten, ob das so richtig dazu gehört weiß ich nicht, da ich kein englisch kann.
Es scheint sich aber um einen Bug zu handeln, vielleicht. Vielleicht kann das ja mal jemand aufklären:
https://www.mail-archive.com/debian-bug ... 28591.html
https://bugs.debian.org/cgi-bin/bugrepo ... bug=634472
https://bugs.debian.org/cgi-bin/bugrepo ... bug=665720
https://www.mail-archive.com/pkg-utopia ... 13481.html

Das war mein suchbegriff:

Code: Alles auswählen

debian systemd[1]: Job arno-iptables-firewall.service/start deleted to break ordering cycle starting with basic.target/start

[guennid]

Das ist absolut kein Hexenwerk, eher ziemlich simpel.

Woraus wir messerscharf schließen, dass, wer's nicht hinkriegt, wohl etwas beschränkt sein muss, was uns dann retour wieder darin bestätigt, wie fähig wir doch sind.

Mann, Mann, Mann, ich liebe solche Denke.

@niesommer:

Schon mal shorewall probiert? Vielleicht kommt systemd ja damit zurecht.

Grüße, Günther

[GregorS]

Das ist absolut kein Hexenwerk, eher ziemlich simpel.

Woraus wir messerscharf schließen, dass, wer's nicht hinkriegt, wohl etwas beschränkt sein muss, was uns dann retour wieder darin bestätigt, wie fähig wir doch sind.
Mann, Mann, Mann, ich liebe solche Denke.

Dann denk’ halt nicht so. Nachdem ich mich vor >15 Jahren da mal reingelesen und immer wieder mit der Konfiguration solcher Dinge beschäftigt habe, finde ich es wirklich nicht sonderlich schwer. Zumindest ein Start-Setup ist ja wohl wirklich nicht so schlimm. Oder etwa doch?!

Gruß

Gregor

[niesommer]

Schon mal shorewall probiert? Vielleicht kommt systemd ja damit zurecht.

Grüße, Günther

Noch nicht werde ich probieren.

[niesommer]

So ich habe jetzt erst einmal shorewall ausprobiert mit einer beispielkonfiguration für eine Netzwerkkarte mit folgendem ergebnis:

Code: Alles auswählen

systemctl status shorewall
● shorewall.service - LSB: Configure the firewall at boot time
   Loaded: loaded (/etc/init.d/shorewall)
   Active: inactive (dead)

Code: Alles auswählen

journalctl -b -p err
-- Logs begin at Do 2015-06-11 16:52:38 CEST, end at Do 2015-06-11 16:53:44 CEST. --
Jun 11 16:52:38 debian systemd[1]: Job shorewall.service/start deleted to break ordering cycle starting with basic.target/start
Jun 11 16:52:38 debian systemd[1]: Job rpcbind.service/start deleted to break ordering cycle starting with basic.target/start
Jun 11 16:52:52 debian pulseaudio[1159]: [autospawn] core-util.c: Home directory not accessible: Keine Berechtigung
Jun 11 16:52:52 debian pulseaudio[1159]: [pulseaudio] main.c: Failed to acquire autospawn lock
Jun 11 16:53:35 debian pulseaudio[2954]: [pulseaudio] authkey.c: Failed to truncate cookie file: Das Argument ist ungültig
Jun 11 16:53:37 debian pulseaudio[2957]: [pulseaudio] authkey.c: Failed to truncate cookie file: Das Argument ist ungültig

Für mich sieht das genauso aus wie mit arno-iptables-firewall. Das scheint alles nicht mit dem neuen init-system zu funktionieren.
Warum nur muss ich immer diese blöden Bugs abkriegen.

[rendegast]

viewtopic.php?f=9&t=155902#p1046281
in dem Thread hat es zwar nicht geholfen, aber vielleicht ....

/etc/systemd/system/arno-iptables-firewall.service.d/blafoo.conf

Code: Alles auswählen

    [Unit]
    Wants=network.target network-online.target
    After=network.target network-online.target

(zumindest in die Richtung)


Ansonsten mal probeweise auf sysv als init-System umstellen.

[niesommer]

Entschuldige bitte, das ich dich habe warten lassen, ich musste noch mal los und dann erst mal testen.

viewtopic.php?f=9&t=155902#p1046281
in dem Thread hat es zwar nicht geholfen, aber vielleicht ....

/etc/systemd/system/arno-iptables-firewall.service.d/blafoo.conf

Code: Alles auswählen

    [Unit]
    Wants=network.target network-online.target
    After=network.target network-online.target

(zumindest in die Richtung).

Nein das hat leider auch nicht funktioniert.

Ansonsten mal probeweise auf sysv als init-System umstellen.

Aber das hat funktioniert, nachdem ich vor kurzem hier gelesen habe das im grubmenü noch ein eintrag zu sysv habe ich mal nachgesehen und siehe da er war vorhanden, also den rechner kurzerhand mal damit gestartet.
Jetzt wird das arno-iptables-firewall ordnungsgemäß gestartet. danke

So ich setzt das dann erstmal auf gelößt.
Aber eine frage hätte ich da dann noch, wenn das ein Bug ist dann wird der doch irgendwann behoben oder?
Und dann sollte das doch mit systemd gehen in jessie, oder sollte ich eher davon ausgehen das es in jessie nicht mehr behoben wird?
Ich frage deshalb, weil ich dann dem bekannten entweder zeige wie er das system starten kann um die firewall aktiv zu bekommen, oder ob ich den eintrag aus dem erweiterten grub menü nach oben hole und er dann eben immer mit sysv arbeitet, sowie es bisher ja auch der fall war.

Denn wenn der Bug behoben wird dann kann ich ja die konfiguration auch so lassen es funktioniert dann eben nach irgendeinem update.
Was meint ihr dazu, wie würdet ihr euch entscheiden?

[GregorS]

... Was meint ihr dazu, wie würdet ihr euch entscheiden?

Sorry vorweg

Ich würde es so wie ich machen ... hihi. Ich habe heute Nachmittag mal mein erstes Posting zum Thema auf einer Virtuellen Maschine „durchexerziert“: Das waren zwei Zeilen in /etc/rc.local – reboot (unnötig aber für etwas anderes war ich zu faul) – fertig. Hat keine fünf Minuten gedauert

Aber es freut mich, dass es doch noch geklappt hat bei Dir.

Gruß

Gregor

[rendegast]

Aber eine frage hätte ich da dann noch, wenn das ein Bug ist dann wird der doch irgendwann behoben oder?

Von debian aus in jessie nicht mehr.
Vielleicht wird ein aktuelleres Paket mal in jessie-backports angeboten,
ein aktualisiertes aus stretch / sid dürfte auch verwendbar sein
(ist ja "nur" eine Skriptsammlung).


Andererseits könnte der Lösungsweg
bla.service.d/foo.conf
weiter ausgearbeitet werden,
ist ja nicht das einzige Paket, das (noch) nicht systemd-kompatibel ist.
Nach Einsendung sollte das eine ehrenvolle Erwähnung in changelog.Debian geben.

[niesommer]

Aber eine frage hätte ich da dann noch, wenn das ein Bug ist dann wird der doch irgendwann behoben oder?

Von debian aus in jessie nicht mehr.
Vielleicht wird ein aktuelleres Paket mal in jessie-backports angeboten,
ein aktualisiertes aus stretch / sid dürfte auch verwendbar sein
(ist ja "nur" eine Skriptsammlung).

So ich habe jetzt den Rechner wieder auf sysvinit zurückgestellt:

Code: Alles auswählen

ps -p1
  PID TTY          TIME CMD
    1 ?        00:00:01 init

Code: Alles auswählen

cat /etc/default/grub 
# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash init=/lib/sysvinit/init"
GRUB_CMDLINE_LINUX=""

Andererseits könnte der Lösungsweg
bla.service.d/foo.conf
weiter ausgearbeitet werden,
ist ja nicht das einzige Paket, das (noch) nicht systemd-kompatibel ist.
Nach Einsendung sollte das eine ehrenvolle Erwähnung in changelog.Debian geben.

Das darfst du gerne übernehmen, da ich eh kein englisch kann wird das mit der Einsendung auch nichts, und solange der Rechner noch nicht abgeholt wurde können wir das gerne daran testen.
Denn was ich nicht verstehe ist das das ganze auf meinem Laptop problemlos funktioniert mit anro-iptables-firewall und systemd. Dazu kann ich nachher noch ein paar angaben von dem Rechner machen wenn bedarf besteht. Vielleicht soll ich ja auch etwas bestimmtes posten was vielleicht den Hinweis auf eine Lösung bringt, aber mir sind bis jetzt keine unterschiede aufgefallen, außer das auf dem einen funktioniert und auf dem anderen nicht.

[guennid]

Ansonsten mal probeweise auf sysv als init-System umstellen.

Das zu empfehlen, hätte ich mich nicht getraut.

Ob das Nebeneinander der beiden init-Systeme auf Dauer gutgeht? Machen ja offenbar einige.

Grüße, Günther

[niesommer]

Ansonsten mal probeweise auf sysv als init-System umstellen.

Das zu empfehlen, hätte ich mich nicht getraut.

Ich auch nicht.
War aber dann doch einfacher als ich gedacht hätte.

Ob das Nebeneinander der beiden init-Systeme auf Dauer gutgeht? Machen ja offenbar einige.

Grüße, Günther

Keine Ahnung aber solange das neue nicht ordentlich funktioniert glaube ich muss das wohl gehen, und im Moment sieht das ganz gut aus.
Popcon habe ich auch dem Rechner auch aktiviert, dann findet das Eingang in die Benutzerstatistik.

[tmp94723]

Das Problem scheint in unstable noch immer zu bestehen: [edit: in testing/unstable genügt es das service zu enablen und zu starten...]

https://bugs.debian.org/cgi-bin/bugrepo ... bug=824684

Fix: (getestet mit stable)

Unter /lib/systemd/system das file arno-iptables-firewall.service erstellen mit folgendem inhalt:

Code: Alles auswählen

[Unit]
Description=Arno's Iptables Firewall
DefaultDependencies=no
Wants=network-pre.target
Before=network-pre.target shutdown.target
Conflicts=shutdown.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/arno-iptables-firewall start
ExecStop=/usr/sbin/arno-iptables-firewall stop
ExecReload=/usr/sbin/arno-iptables-firewall force-reload
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

(Quelle: https://github.com/arno-iptables-firewa ... ll.service, pfade an debian angepasst)

Code: Alles auswählen

# chmod 644 arno-iptables-firewall.service

# systemctl enable arno-iptables-firewall

# systemctl start arno-iptables-firewall

ggf. # dpkg-reconfigure arno-iptables-firewall

Kontrolle:

Code: Alles auswählen

systemctl status arno-iptables-firewall