[gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
shredman
Beiträge: 4
Registriert: 08.06.2020 10:55:45

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von shredman » 10.09.2020 10:40:14

linuxfandebian hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 20:24:15
Ich benutze seit dem Jahr 2011 für alle bisher installierten Debian Versionen (Squeeze, Wheezy, Jessie, Stretch und Buster) das Programm Debianarno-iptables-firewall.

Bei der Installation muss man nur einige wenige Fragen beantworten und die Namen der zu überwachenden Netzwerke (z.B. wlp0s20f3 eno1 ppp+) eingeben.

Ansonsten übt das Programm bei jedem Start im Hintergrund seinen Dienst aus.

Protokoll: /var/log/arno-iptables-firewall

oder Konsole als root: arno-iptables-firewall status
Hi,

ich nutze ebenfalls schon seit Ewigkeiten arno-iptables-firewall und frage mich ob ich aufgrund der Änderungen (iptables -> nftables) von Stretch auf Debian Buster updaten soll. Ich getraue mich noch nicht weil ich denke das dann arno-iptables-firewall nicht mehr richtig funktioniert. Setze unter Stretch Version 2.01.f-1 ein die ich über das Standard Repository installiert habe. Wie schaut es mit der Buster Kopatibilität aus, funktionert das ?

Gruß,
Frank

TomL

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von TomL » 10.09.2020 11:29:19

shredman hat geschrieben: ↑ zum Beitrag ↑
10.09.2020 10:40:14
...und frage mich ob ich aufgrund der Änderungen (iptables -> nftables) von Stretch auf Debian Buster updaten soll.
Du kannst die Überlegung zum Wechsel von Stretch auf Buster meiner Meinung nach losgelöst von der Frage iptables oder nftables anstellen. Iptables als Frontend wird es vermutlich noch über Jahre geben. Solange Dein Firewall-Programm also keine Fehler beim Erstellen der Regeln produziert, ist das aus diesem Aspekt vermutlich ok. Diese Feststellung sagt aber absolut gar nichts über die tatsächliche Wirksamkeit der Firewall aus ... wobei auch das nichts mit Stretch/Buster oder Iptables/Nftables zu tun hat... diese Ungenauigkeit bestand auch schon vorher.

Kontrolliere doch einfach, wie die Firewall nach dem Start konfiguriert wird. Anhand des Inhaltes der einzelnen Regeln und deren Abbildung auf den Umfang der täglichen Nutzung des Systems kann man doch feststellen, ob die Firewall eine Firewall ist.

Code: Alles auswählen

# iptables -L -nv

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 10.09.2020 14:00:50

shredman hat geschrieben: ↑ zum Beitrag ↑
10.09.2020 10:40:14
ich nutze ebenfalls schon seit Ewigkeiten arno-iptables-firewall und frage mich ...
Wie schaut es mit der Buster Kopatibilität aus, funktionert das ?
BTW: Wird die arno-iptables-firewall unter Buster, xtables-nft-multi (d. h. iptables using nftables kernel api) oder xtables-legacy-multi (d. h. iptables using old getsockopt/setsockopt-based kernel api) benutzen?

EDIT:

systemd benutzt (mit Buster) noch xtables-legacy-multi, für evtl. iptables-Regeln.

shredman
Beiträge: 4
Registriert: 08.06.2020 10:55:45

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von shredman » 14.09.2020 14:33:08

Alles klar, ich danke Euch ;-)

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 03.01.2021 23:00:11

Hallo,

ich habe heute Buster (Debian 10.7) installiert - nur Server also keine grafische Oberfläche - und da wurde definitiv iptables bei mir installiert. Kein 'nftables'. Daher verwirrt mich nun die folgende Aussage etwas:
Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
22.07.2019 20:08:18
Ich suche eine gebrauchsfertige Firewall für Debian 10, die auch mit nftables(Standard bei Debian Buster)
Was stimmt denn nun?

Also der Befehl "iptables" ist bei mir aufrufbar und es passier auch etwas wenn ich dafür neue Regeln definiere. Und ich habe definitv Buster installiert. :?:

Bis dann
Tom

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 04.01.2021 10:06:59

tscott hat geschrieben: ↑ zum Beitrag ↑
03.01.2021 23:00:11
Was stimmt denn nun?

Also der Befehl "iptables" ist bei mir aufrufbar und es passier auch etwas wenn ich dafür neue Regeln definiere. Und ich habe definitv Buster installiert. :?:
Ja, das ist auch ok so. Es wird das "neue":

Code: Alles auswählen

xtables-nft -- iptables using nftables kernel api
Siehe die Ausgaben von:

Code: Alles auswählen

iptables --version
file /usr/sbin/xtables-nft-multi

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 04.01.2021 10:29:56

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:06:59
Ja, das ist auch ok so. Es wird das "neue":

Code: Alles auswählen

xtables-nft -- iptables using nftables kernel api
Siehe die Ausgaben von:

Code: Alles auswählen

iptables --version
file /usr/sbin/xtables-nft-multi
Du meinst es wurde da jetzt ein Tool installiert welches unbemerkt alle "iptables" Regeln zu "nftables" Regeln übersetzt und intern werkelt dann eigentlich eine "nftables" basierte Firewall? :?: So in etwa?

Hinweis: Der Befehl 'nft' existiert bei meinem System nicht.

Danke
Tom

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 04.01.2021 10:34:34

tscott hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:29:56
Du meinst es wurde da jetzt ein Tool installiert welches unbemerkt alle "iptables" Regeln zu "nftables" Regeln übersetzt und intern werkelt dann eigentlich eine "nftables" basierte Firewall? :?: So in etwa?
Eine Übersetzung ist nicht erforderlich. Sagen wir mal so, es wird nftables mit der Syntax von iptables benutzt.
iptables using nftables kernel api
EDIT:

Schau mal nach ob es das "alte" iptables:
xtables-legacy are the original versions of iptables that use old getsockopt/setsockopt-based kernel interface.
noch gibt:

Code: Alles auswählen

file /usr/sbin/xtables-legacy-multi
Zuletzt geändert von mat6937 am 04.01.2021 10:42:09, insgesamt 1-mal geändert.

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 05.01.2021 18:06:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:34:34
Schau mal nach ob es das "alte" iptables:
xtables-legacy are the original versions of iptables that use old getsockopt/setsockopt-based kernel interface.
noch gibt:

Code: Alles auswählen

file /usr/sbin/xtables-legacy-multi
Sorry späte Antwort aber ich hatte leider wenig Zeit.
Ja gibts wohl "noch":

Code: Alles auswählen

/usr/sbin/xtables-legacy-multi: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=441c13ba99ee51adec28dfc572438ee85ea859b9, stripped
Kann man denn nftables parallel betreiben? Oder schliesst sich beides ('iptables vs. nftables) gegenseitig aus?

Nachtrag: Hier habe ich was gefunden was es ganz gut erklärt:
https://www.computerweekly.com/de/ratge ... s-beachten

Ciao
Tom

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 06.01.2021 10:32:09

tscott hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 18:06:07
Oder schliesst sich beides ('iptables vs. nftables) gegenseitig aus?
Nein die schließen sich nicht aus, die kann man parallel betreiben. Es gibt maintainer die haben das noch nicht geändert bzw. lassen nicht auf das Vorhandensein von nftables prüfen und dann werden Regeln noch mit dem "alten" iptables-legacy gesetzt (was aber kein Problem darstellt).
Wenn man dann das "neue" iptables benutzt, gibt eine Warnung. Z. B.:
# Warning: iptables-legacy tables present, use iptables-legacy to see them

Antworten