Nutzt man da nicht besser fai2ban oder greift (automatisch) auf Listen von z. B. spamhouse.org zu? Wie machst du das?Trimension hat geschrieben:24.02.2018 12:46:58Der wird rund um die Uhr massiv bombardiert, sodaß die Firewall hier einiges abfangen muss, wie z.B. Portscan-, Synflood-, Spoofing-Blocker, DDos- und Brute-Force-Angriffe auf beliebige Anwendungen, etc...... Dazu brauchts dann z.B. ne umfangreiche Blacklist (derzeit hab ich da knapp 100000 IPs da drin), die täglich aktualisiert wird...
Nu ja, dass hatte ich gepostet, weil es dir eventuell Stress mit systemd ersparen könnte. Am Ende ist ufw auch nur eines von vielen Frontends für iptables.Trimension hat geschrieben:24.02.2018 12:46:58Ich denke, daß UFW damit ein wenig überfordert wäre...
Trimension hat geschrieben:24.02.2018 12:46:58Aktuell ist es so, daß ich nicht mal alle Regeln mit nftables abbilden kann, dem "Nachfolger" von iptables, was sich aber hoffentlcih bald ändert ...
Ich pflege das gesamte Regelwerk in einer zentralen Datei, die beim Start geladen und ggf. später angepasst und manuell reloaded werden kann.
https://gridscale.io/community/tutorial ... -firewall/Ferm – Tool zur Konfiguration komplexer Firewalls. Es erlaubt das gesamte Firewall-Regel-Set in einer separaten Datei zu speichern und diese mit einem Befehl zu laden. Die Firewall-Konfiguration ähnelt einer strukturierten Programmiersprache, die Ebenen und Listen enthalten kann.
...
Shorewall – Hochwertiges Tool zum Konfigurieren der Kernel netfilter-Firewall. Du konfigurierst deine Firewall mit Einträgen in einer Reihe von Konfigurationsdateien.
usw.
Das ist jetzt eine Frage der (spitzfindigen) Definition von OOtB: Vorinstalliert oder Funktionalität ohne Konfigurationsaufwand.Trimension hat geschrieben:24.02.2018 12:46:58Naja und ufw ist nicht OOTB, jedenfalls nicht bei Debian...
(Bei Firewall Letzteres kaum möglich.)