[gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Heliosstyx

[gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von Heliosstyx » 22.07.2019 20:08:18

Ich suche eine gebrauchsfertige Firewall für Debian 10, die auch mit nftables(Standard bei Debian Buster) funktioniert und einfach über eine grafische Benutzeroberfläche konfigurierbar sein soll und sinnvoll vordefinierte Regeln mitbringt. ufw und gufw erfordern umfangreiches Basiswissen über ports etc., das ist momentan noch nichts für mich. Die Firewall soll nichts sinnvolles lahmlegen (Drucker, Windows 10 Freigaben, KDE-connect etc.). Ich verwende den Plasma 5 Desktop. Danke.
Zuletzt geändert von Heliosstyx am 22.07.2019 23:40:36, insgesamt 1-mal geändert.

TomL

Re: Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von TomL » 22.07.2019 20:52:35

Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
22.07.2019 20:08:18
....und sinnvoll vordefinierte Regeln mitbringt.
Was ist der Maßstab dafür, ab wann welches Default-Regelwerk speziell für Deinen PC sinnvoll ist? Ich denke, der einzige, der das festlegen kann, wärst Du selber.
...erfordern umfangreiches Basiswissen über ports etc.,
Wenn Du das nicht hast, wonach beurteilst oder prüfst Du dann, dass die Desktop-Firewall überhaupt in Deiner speziellen Umgebung wirksam ist? Wenn diese Feststellung allerdings nicht wichtig ist, könntest Du einfach Wine und Zonealarm installieren.... das bringt zwar auch nix, ist aber wenigstens fürs Gewissen ne installierte Firewall :mrgreen:

Es gibt keine sinnvolle Desktop-Firewall nach Deinen Vorstellungen, die gibts nicht mal unter Windows. Es gibt nur Firewalls, wenn man sie nicht mit Sachverstand maßschneidert, die irgendwas erlauben und irgendwas blocken, völlig losgelöst von dem, was bei Dir tatsächlich erlaubt und tatsächlich geblockt werden muss. Es wird bei solchen Einstellungen wohl eine gewisse passende Schnittmenge geben, aber es bleibt trotzdem nur Flickwerk.... mit dem Fazit: Überflüssig!

Ums kurz zu sagen, Du hast (wenn Du hier schreibst) Debian installiert.... und dafür brauchst Du ihmo derzeit keine Desktop-Firewall, oder anders gesagt, ob mit oder ohne Firewall macht hierbei keinen Unterschied. Ich sehe hier nur eine Ausnahme, und zwar wenn Du Dich mit einem Laptop an wechselnden fremden Accessspoints anmelden würdest, dafür bietet die UFW eine ziemlich radikale Einstellung an, die auch wirklich schützt. Nur damit funktioniert bei Dir zuhause dann gar nix mehr... *fg*

Mein Rat: Kontrolliere, ob der DSL-Router offene Ports hat, wenn ja, dann schließen, wenn nicht, ist alles gut. Mit einer Desktop-Firewall bekommst Du nicht im geringsten die Sicherheit, die Du glaubst, sondern allenfalls unbedeutende Zufallstreffer. Die Sicherheit existiert dabei allein im Glauben daran, dass alles gut wird, weils die Firewall schon richten wird. Tut sie aber nicht, das Gegenteil tritt ein, die Sicherheit sinkt, wenn Du möglicherweise wegen dieses Glaubens leichtsinniger werden würdest.

Heliosstyx

Re: Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von Heliosstyx » 22.07.2019 23:22:00

Danke, Thomas. Das war eine klare und verständliche Antwort. Port-scan meines Routers habe ich durchgeführt, alles dicht, keine security-breaches. Wenn ich mit den Notebooks unterwegs bin, werde ich ufw+gufw verwenden, ansonsten pure Buster.

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von slu » 23.07.2019 11:05:49

TomL hat geschrieben: ↑ zum Beitrag ↑
22.07.2019 20:52:35
[...] dafür bietet die UFW eine ziemlich radikale Einstellung an, die auch wirklich schützt. Nur damit funktioniert bei Dir zuhause dann gar nix mehr... *fg*
Welches Profil nimmst Du da?
Eingehend alles blocken und Profil öffentlich?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

TomL

Re: Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von TomL » 23.07.2019 15:02:16

slu hat geschrieben: ↑ zum Beitrag ↑
23.07.2019 11:05:49
Welches Profil nimmst Du da?
Eigentlich gar keins... :roll: ... ich halte die UFW tatsächlich eher für eines der Pakete, die man nicht wirklich braucht :wink:

Und wenns nur um einen mobilen Laptop und Verbindungen an potentiell unsicheren Accesspoints geht, kann man sich eben schnell die 'drei' Regeln selber aktivieren, dafür braucht man nicht ein ganzes Paket, bei dem man eh kaum kontrollieren kann, was es da treibt und welches schlimmstensfalls durch Programmfehler sogar noch Exploits in die "Firewall" einbaut. Das geht auf jeden Fall einfacher.

Filter anlegen:

Code: Alles auswählen

# cat netfilter.nft

table ip filter {
	chain input {
		type filter hook input priority 0; policy drop;
		iifname "lo" accept
		ct state established,related accept
		ct state invalid counter packets 0 bytes 0 drop
		ip protocol tcp counter packets 0 bytes 0 reject with tcp reset
		counter packets 0 bytes 0 reject
	}

	chain output {
		type filter hook output priority 0; policy drop;
		ct state established,related accept
		ip protocol icmp accept
		tcp dport 53 accept
		udp dport 53 accept
		tcp dport 80 accept
		tcp dport 443 accept
		counter packets 0 bytes 0 reject with icmp type admin-prohibited
	}

	chain forward {
		type filter hook prerouting priority 0; policy drop;
		ct state established,related accept
		counter packets 19 bytes 1879 drop
	}
}
Aktivieren:

Code: Alles auswählen

# modprobe nf_conntrack
# sysctl -w net.ipv6.conf.all.forwarding=0
# sysctl -w net.ipv6.conf.all.disable_ipv6=1
# sysctl -w net.netfilter.nf_conntrack_helper=1
# nft -f netfilter.nft
Deaktivieren:

Code: Alles auswählen

# nft flush ruleset
Kontrollieren:

Code: Alles auswählen

# nft list ruleset
Um noch mal drauf hinzuweisen, dieser Filter ist absolut radikal, es ist wirklich alles verboten.... deshalb taugt der auch für zuhause nix, hat man IPv6, wird das damit auch gekillt, selbst dann, wenn man die Inaktivierung am Anfang rausnehmen würde. Der Filter ist wirklich nur dazu da, um 'falsche' oder 'dubiose' Interessen eines mir unbekannten Accesspoints einzudämmen... und das tut er kompromisslos. Aber Java im Browser ist davon natürlich nicht betroffen... das muss man separat einstellen bzw. handhaben, z.B. mit ublock origin.

IPv6 an solchen Hotspots würde ich auf jeden Fall auf meinem Laptop deaktivieren, weil ich keinesfalls möchte, dass mein Laptop mit einem fremden Prefix eines völlig unbekannten Hotspots möglicherweise via SLAAC eine Global-Unicast-IP bildet und dadurch Client in einem fremden IPv6-Netz wird. Bevor ich mir dafür einen Paketfilter baue, verzichtet ich lieber an solchen Hotspots temporär auf IPv6.

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von Colttt » 25.09.2019 08:11:51

meiner einer hat auch interesse daran, nur eher im Business umfeld.. gibts sowas wie OPNsense nur mit Linux und nftables unterbau? wenn ja warum nicht?
Debian-Nutzer :D

ZABBIX Certified Specialist

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von novalix » 25.09.2019 13:53:11

Es gibt da noch den Firewall Builder.
Der wird aber kaum noch weiterentwickelt, kann kein natives nftables und hat Probleme mit dem Buildsystem, so dass aus dem verlinkten Repo lediglich die 5.3er Branch gelegentlich zu einem Debian-Paket kompiliert.

Benutzt habe ich den noch nie. Habe aber schon verschiedene, durchaus beschlagene, Leute postiv darüber sprechen gehört.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von MSfree » 25.09.2019 14:12:55

novalix hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 13:53:11
Es gibt da noch den Firewall Builder.
...
Benutzt habe ich den noch nie. Habe aber schon verschiedene, durchaus beschlagene, Leute postiv darüber sprechen gehört.
Ich habe den vor vielen Jahren mal ausprobiert. Ein Arbeiten war damit aber nicht möglich, das Ding ist mir andauernd mit Coredumps abgestürzt. Besonders einfach zu bedienen fand ich den auch nicht. Letztlich erzeugt das Ding auch nur iptables-Regeln und schreibt das Erzeugnis in ein Shellscript, das man dann beim Booten ausführen muß. Ich fand das Ding nicht einfacher als iptables-Befehle direkt hintereinander mit vim in ein Shellskript zu schreiben.

TomL

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von TomL » 25.09.2019 15:09:30

Colttt hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 08:11:51
meiner einer hat auch interesse daran, nur eher im Business umfeld.. gibts sowas wie OPNsense nur mit Linux und nftables unterbau? wenn ja warum nicht?
Mir fällt als allererstes die Frage ein "was willst Du überhaupt vor wem schützen?". Hinsichtlich des Threadtitels "Firewall mit Gui" und Deiner Anforderung OPNsense" gibts ja schon ein paar krasse Unterschiede. Mit dem ersten ist eine Desktop-Firewall gemeint, OPNSense hingegen ist eine eigene Distribution (wahrscheinlich ohne User-Interaktion und ohne GUI). Die Desktop-FW schütz den PC (idealerweise dann, wenn der PC echtes Border-Device ist), OPNSense schützt imho das isolierte Netzwerk. Beide FWs sitzen also zwischen zu schützendem Objekt und dem bösen Internet.

Im Moment ist mir noch unklar, ob das was Du willst, wirklich mit dem übereinstimmt, was Du brauchst. Sollen Client-PCs explizit geschützt werden oder zentral das gesamte Netzwerk? Wenns die Client-PC sind, soll eingehender TCP-Traffic oder ausgehender Traffic überwacht werden? Wenns um eingehenden Verkehr geht, warum tut das nicht bereits der DSL-Router? Also die wichtigste Frage ist die vom Anfang "Was soll vor wem beschützt werden? Und worauf begründen sich die jetzigen Befürchtungen zu bestehenden Sicherheitsmängeln.... denn die Idee zur FW muss ja einen Anlass haben.

BTW, ich schließe mich msfree an, der bessere Weg für einen Client-Paket-Filter ist es, die Regeln selber zu erstellen, als sich auf ein Tool zu verlassen, dessen wirken man vielleicht nicht versteht. Achja, meinen Beobachtungen nach gibt es im aktuellen Kernel keine iptables mehr, sondern nur noch nftables. Es gibt nur noch einen Translator, der iptables-Statements nach nftables-Syntax übersetzt.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von MSfree » 25.09.2019 15:43:26

TomL hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 15:09:30
der bessere Weg für einen Client-Paket-Filter ist es, die Regeln selber zu erstellen, als sich auf ein Tool zu verlassen, dessen wirken man vielleicht nicht versteht.
Eigentlich war der Ansatz von Zonealarm gar nicht so schlecht. Das hat einfach den Verkehr überwacht und nachgefragt, wenn etwas passiert ist, das nicht erlaubt war. Man konnte dann entscheiden, ob man es zulassen wollte und auch eine permanente Regel daraus machen. Das große Problem hierbei war und ist, daß man normalerweise mit Ja antwortet, und, damit diese "dämliche" Frage nicht nochmal kommt, eine permanente Regel erstellt hat. Nach ein paar Stunden hat man vergessen, was man alles zugelassen hat, die Liste der Regeln wurde zu lang, um noch eine Übersicht zu behalten. Am Ende war dann doch alles offen, weil man zu oft mit Ja geantwortet hat.

Eine Firewall ist nunmal kein Kinderfasching. Man muß mit Funktionseinschränkungen leben, wenn man wirklich eine dichte Firewall haben will. Wer zig Ports öffnet, damit seine Lieblingsspiele laufen, braucht sich nicht zu wundern, wenn durch diese erlaubten Ports auch Anwendungen kommunizieren, die das eigentlich nicht sollten.

Es gibt keine Firewall, die man nur an- oder ausschalten muß. Eine Firewall ist auch kein Stück Software, das man startet. Eine Friewall ist ein Sicherheitskonzept, das man mithilfe von Software realisieren kann. Aber auch die abgeschlossene Tür vor dem Serverraum ist Teil eines umfangreichen Sicherheitskonzeptes. Und weil das praktisch alle Linuxentwickler wissen, hat auch keiner etwas programmiert, das einen in falscher Sicherheit wiegt, wie Zonealarm. Obwohl, ich würde Lennart zutrauen, wenn er einen firewalld für systemd schreibt, der über udev am Desktop rauskommt und dem Benutzer fragen stellt. :mrgreen:
Achja, meinen Beobachtungen nach gibt es im aktuellen Kernel keine iptables mehr, sondern nur noch nftables. Es gibt nur noch einen Translator, der iptables-Statements nach nftables-Syntax übersetzt.
Im Moment tun meine mit iptables gespickten Skripte noch ihren Dienst. Solange der Befehl iptables das alles brav in nftables-Regeln umsetzt, ist für mich erstmal alles in Butter.

linuxfandebian
Beiträge: 60
Registriert: 13.09.2010 17:19:19
Lizenz eigener Beiträge: MIT Lizenz

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von linuxfandebian » 25.09.2019 20:24:15

Ich benutze seit dem Jahr 2011 für alle bisher installierten Debian Versionen (Squeeze, Wheezy, Jessie, Stretch und Buster) das Programm Debianarno-iptables-firewall.

Bei der Installation muss man nur einige wenige Fragen beantworten und die Namen der zu überwachenden Netzwerke (z.B. wlp0s20f3 eno1 ppp+) eingeben.

Ansonsten übt das Programm bei jedem Start im Hintergrund seinen Dienst aus.

Protokoll: /var/log/arno-iptables-firewall

oder Konsole als root: arno-iptables-firewall status
debian bullseye 5.10.0-13-amd64 lxde

DeletedUserReAsG

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von DeletedUserReAsG » 25.09.2019 20:44:11

Colttt hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 08:11:51
meiner einer hat auch interesse daran, nur eher im Businessumfeld¹.
Möchtest du dann auch den Businesstarif bezahlen? Wenn ja, findet sich bestimmt ’ne Lösung :)



¹automatische Deppenleerzeichenentfernung ausgelöst

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von Colttt » 02.10.2019 14:25:31

niemand hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 20:44:11
t du dann auch den Businesstarif bezahlen? Wenn ja, findet sich bestimmt ’ne Lösung :)
aber klar doch, gerne.. uns ist wichtig das ein teil des geldes dann auch der OpenSourceSoftware zugute kommt.

Ich möchte hier öffentliche Server mit entsprechend öffentlichen IPs (512 an der Zahl) schützen.. leider gibts da nur selten was, und OPNsense ist uns leider nicht stabil genug, hatten es schon das die FW sich einfach neu bootet wenn ein prozess hängt, die GUI ist nicht grade intuitiv und das logging leider auch nicht, endian wäre evtl noch was..
Debian-Nutzer :D

ZABBIX Certified Specialist

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von slu » 02.10.2019 16:28:21

Colttt hat geschrieben: ↑ zum Beitrag ↑
02.10.2019 14:25:31
[...] leider gibts da nur selten was, und OPNsense ist uns leider nicht stabil genug, hatten es schon das die FW sich einfach
Vielleicht dann doch pfsense.org nehmen?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
Fischkutter
Beiträge: 25
Registriert: 10.05.2017 07:36:27
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Neubrandenburg
Kontaktdaten:

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von Fischkutter » 06.12.2019 22:27:33

Na du kannst Firewalld verwenden, nach der Installation in der /etc/firewalld/firewalld.conf am Ende prüfen, ob nftables als default gesetzt ist. Die Einrichtung nach deinen Bedürfnissen ist echt einfach zu erledigen.

shredman
Beiträge: 4
Registriert: 08.06.2020 10:55:45

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von shredman » 10.09.2020 10:40:14

linuxfandebian hat geschrieben: ↑ zum Beitrag ↑
25.09.2019 20:24:15
Ich benutze seit dem Jahr 2011 für alle bisher installierten Debian Versionen (Squeeze, Wheezy, Jessie, Stretch und Buster) das Programm Debianarno-iptables-firewall.

Bei der Installation muss man nur einige wenige Fragen beantworten und die Namen der zu überwachenden Netzwerke (z.B. wlp0s20f3 eno1 ppp+) eingeben.

Ansonsten übt das Programm bei jedem Start im Hintergrund seinen Dienst aus.

Protokoll: /var/log/arno-iptables-firewall

oder Konsole als root: arno-iptables-firewall status
Hi,

ich nutze ebenfalls schon seit Ewigkeiten arno-iptables-firewall und frage mich ob ich aufgrund der Änderungen (iptables -> nftables) von Stretch auf Debian Buster updaten soll. Ich getraue mich noch nicht weil ich denke das dann arno-iptables-firewall nicht mehr richtig funktioniert. Setze unter Stretch Version 2.01.f-1 ein die ich über das Standard Repository installiert habe. Wie schaut es mit der Buster Kopatibilität aus, funktionert das ?

Gruß,
Frank

TomL

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von TomL » 10.09.2020 11:29:19

shredman hat geschrieben: ↑ zum Beitrag ↑
10.09.2020 10:40:14
...und frage mich ob ich aufgrund der Änderungen (iptables -> nftables) von Stretch auf Debian Buster updaten soll.
Du kannst die Überlegung zum Wechsel von Stretch auf Buster meiner Meinung nach losgelöst von der Frage iptables oder nftables anstellen. Iptables als Frontend wird es vermutlich noch über Jahre geben. Solange Dein Firewall-Programm also keine Fehler beim Erstellen der Regeln produziert, ist das aus diesem Aspekt vermutlich ok. Diese Feststellung sagt aber absolut gar nichts über die tatsächliche Wirksamkeit der Firewall aus ... wobei auch das nichts mit Stretch/Buster oder Iptables/Nftables zu tun hat... diese Ungenauigkeit bestand auch schon vorher.

Kontrolliere doch einfach, wie die Firewall nach dem Start konfiguriert wird. Anhand des Inhaltes der einzelnen Regeln und deren Abbildung auf den Umfang der täglichen Nutzung des Systems kann man doch feststellen, ob die Firewall eine Firewall ist.

Code: Alles auswählen

# iptables -L -nv

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 10.09.2020 14:00:50

shredman hat geschrieben: ↑ zum Beitrag ↑
10.09.2020 10:40:14
ich nutze ebenfalls schon seit Ewigkeiten arno-iptables-firewall und frage mich ...
Wie schaut es mit der Buster Kopatibilität aus, funktionert das ?
BTW: Wird die arno-iptables-firewall unter Buster, xtables-nft-multi (d. h. iptables using nftables kernel api) oder xtables-legacy-multi (d. h. iptables using old getsockopt/setsockopt-based kernel api) benutzen?

EDIT:

systemd benutzt (mit Buster) noch xtables-legacy-multi, für evtl. iptables-Regeln.

shredman
Beiträge: 4
Registriert: 08.06.2020 10:55:45

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von shredman » 14.09.2020 14:33:08

Alles klar, ich danke Euch ;-)

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 03.01.2021 23:00:11

Hallo,

ich habe heute Buster (Debian 10.7) installiert - nur Server also keine grafische Oberfläche - und da wurde definitiv iptables bei mir installiert. Kein 'nftables'. Daher verwirrt mich nun die folgende Aussage etwas:
Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
22.07.2019 20:08:18
Ich suche eine gebrauchsfertige Firewall für Debian 10, die auch mit nftables(Standard bei Debian Buster)
Was stimmt denn nun?

Also der Befehl "iptables" ist bei mir aufrufbar und es passier auch etwas wenn ich dafür neue Regeln definiere. Und ich habe definitv Buster installiert. :?:

Bis dann
Tom

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 04.01.2021 10:06:59

tscott hat geschrieben: ↑ zum Beitrag ↑
03.01.2021 23:00:11
Was stimmt denn nun?

Also der Befehl "iptables" ist bei mir aufrufbar und es passier auch etwas wenn ich dafür neue Regeln definiere. Und ich habe definitv Buster installiert. :?:
Ja, das ist auch ok so. Es wird das "neue":

Code: Alles auswählen

xtables-nft -- iptables using nftables kernel api
Siehe die Ausgaben von:

Code: Alles auswählen

iptables --version
file /usr/sbin/xtables-nft-multi

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 04.01.2021 10:29:56

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:06:59
Ja, das ist auch ok so. Es wird das "neue":

Code: Alles auswählen

xtables-nft -- iptables using nftables kernel api
Siehe die Ausgaben von:

Code: Alles auswählen

iptables --version
file /usr/sbin/xtables-nft-multi
Du meinst es wurde da jetzt ein Tool installiert welches unbemerkt alle "iptables" Regeln zu "nftables" Regeln übersetzt und intern werkelt dann eigentlich eine "nftables" basierte Firewall? :?: So in etwa?

Hinweis: Der Befehl 'nft' existiert bei meinem System nicht.

Danke
Tom

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 04.01.2021 10:34:34

tscott hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:29:56
Du meinst es wurde da jetzt ein Tool installiert welches unbemerkt alle "iptables" Regeln zu "nftables" Regeln übersetzt und intern werkelt dann eigentlich eine "nftables" basierte Firewall? :?: So in etwa?
Eine Übersetzung ist nicht erforderlich. Sagen wir mal so, es wird nftables mit der Syntax von iptables benutzt.
iptables using nftables kernel api
EDIT:

Schau mal nach ob es das "alte" iptables:
xtables-legacy are the original versions of iptables that use old getsockopt/setsockopt-based kernel interface.
noch gibt:

Code: Alles auswählen

file /usr/sbin/xtables-legacy-multi
Zuletzt geändert von mat6937 am 04.01.2021 10:42:09, insgesamt 1-mal geändert.

tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von tscott » 05.01.2021 18:06:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.01.2021 10:34:34
Schau mal nach ob es das "alte" iptables:
xtables-legacy are the original versions of iptables that use old getsockopt/setsockopt-based kernel interface.
noch gibt:

Code: Alles auswählen

file /usr/sbin/xtables-legacy-multi
Sorry späte Antwort aber ich hatte leider wenig Zeit.
Ja gibts wohl "noch":

Code: Alles auswählen

/usr/sbin/xtables-legacy-multi: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=441c13ba99ee51adec28dfc572438ee85ea859b9, stripped
Kann man denn nftables parallel betreiben? Oder schliesst sich beides ('iptables vs. nftables) gegenseitig aus?

Nachtrag: Hier habe ich was gefunden was es ganz gut erklärt:
https://www.computerweekly.com/de/ratge ... s-beachten

Ciao
Tom

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Gebrauchsfertige Firewall mit GUI für Debian 10 gesucht

Beitrag von mat6937 » 06.01.2021 10:32:09

tscott hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 18:06:07
Oder schliesst sich beides ('iptables vs. nftables) gegenseitig aus?
Nein die schließen sich nicht aus, die kann man parallel betreiben. Es gibt maintainer die haben das noch nicht geändert bzw. lassen nicht auf das Vorhandensein von nftables prüfen und dann werden Regeln noch mit dem "alten" iptables-legacy gesetzt (was aber kein Problem darstellt).
Wenn man dann das "neue" iptables benutzt, gibt eine Warnung. Z. B.:
# Warning: iptables-legacy tables present, use iptables-legacy to see them

Antworten