Upgrade Wheezy -> Stretch / Firewall Umstellung auf nftables

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
Trimension
Beiträge: 10
Registriert: 17.02.2018 11:28:26

Upgrade Wheezy -> Stretch / Firewall Umstellung auf nftables

Beitrag von Trimension » 17.02.2018 12:19:50

Hallo zusammen,

ich bereite grad das Upgrade von Wheezy auf Stretch meines Servers vor. Dabei will ich auch gleich die Firewall auf nftables umstellen, hab dabei aber einige Problme, weil die nftables Dokumentation im Netz ziemlich oberflächlich und lückenhaft ist. Vielleicht kann ich ja hier ein paar Tips bekommen :D

Einfache Regeln, wie Port/Adress Sperren sind kein Problem, auch eine Blacklist über Sets hab ich hinbekommen... Allerdings gibts da z.B. das Iptables "recent" Module, welches die Anzahl der Connection-Versuche (einer source-adresse) auf einen Port (z.B. ssh) in einer gegebenen Zeitspanne beschränkt. Ich konnte bislang keine Möglichkeit finden, das mit nftables zu realiseren.

In diversen Dokumentationen wird immer wieder auf das tool iptables-translate verwiesen. Das soll nur im Git-Repo vom netfilter.org Projekt als Source verfügbar sein. Hab mir nen Wolf gesucht, aber nix gefunden. Weiß vielleicht jemand, wo ich dieses Tool herbekomme ? oder hat vielleicht jemand eine Idee, wie man die folgende Regel in nftables abbilden kann ?

Code: Alles auswählen

-A sshconn -m recent --set --name sshc --rsource
-A sshconn -m recent --update --seconds 120 --hitcount 4 --name sshc --rsource -j drop
oder den Portscan-Blocker

Code: Alles auswählen

-A pscanblk -m recent --name portscan --rcheck --seconds 86400 -j DROP
-A pscanblk -m recent --name portscan --remove
-A pscanblk -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
Auch Tipps, wo ich weitere Infos zu nft bzw. Netfilter finden kann (außer den Code zu analysieren!), wären sehr hilfreich (das wiki.nftables.org oder die nft manpage gibt dazu nix her) ...
Vielen Dank schon mal.
jogibaer
[freier softwareentwickler]
cologne - germany

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Upgrade Wheezy -> Stretch / Firewall Umstellung auf nftables

Beitrag von rendegast » 17.02.2018 12:38:42

In diversen Dokumentationen wird immer wieder auf das tool iptables-translate verwiesen. Das soll nur im Git-Repo vom netfilter.org Projekt als Source verfügbar sein. Hab mir nen Wolf gesucht, aber nix gefunden. Weiß vielleicht jemand, wo ich dieses Tool herbekomme ?
Debianiptables-nftables-compat?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Trimension
Beiträge: 10
Registriert: 17.02.2018 11:28:26

Re: Upgrade Wheezy -> Stretch / Firewall Umstellung auf nftables

Beitrag von Trimension » 17.02.2018 13:57:30

He, vielen Dank... steckt da tatsächlich drin...
das wird bei der Portierung sicher hilfreich sein :D

Leider versagt das Tool bei genau dieser Regel...
scheint mir, als wenn nftables dann wohl doch kein vollwertiger Ersatz für iptables ist (noch nicht jedenfalls) :cry:
jogibaer
[freier softwareentwickler]
cologne - germany

Antworten