[Debienna] firehol -> nftables

reox mailinglist at reox.at
Wed Jan 8 08:43:14 CET 2025 

Hi!

Also zum Hintergrund: ich hab A1 und dort muss man zunächst im VLAN 2 
sein und kann dann dort PPPoE starten. Ich erhalte eine public v4 
Adresse und ein /64 v6 Prefix (Anm.: Ich hab schon bei A1 gefragt ob sie 
nicht /56 hergeben, aber das geht laut ihnen nicht...).
Auf dem Router rennt nach außen hin offen nur ein Wireguard und SSH ist 
bestimmten src-IPs erlaubt. Intern gibt es mehrere VLANs und als Dienste 
DHCP & DNS (sowie SSH). Einzige "Spezialkonfiguration" ist ein VLAN, aus 
dem nur ein Host routen darf und in das es aus einem anderen VLAN routen 
gibt.

Die firehol funktioniert seit eh und je gut und ich hab damit eigentlich 
keine Probleme. Jedoch wird mittlerweile nftables empfohlen und ist in 
neuen systemen als default aktiv und ich wollte mich damit einfach 
beschäftigen. Der Start erscheint mir noch etwas steiler zu sein als mit 
iptables - vielleicht ist das aber auch nur mein Eindruck.
Ich hatte mir ein Ruleset zusammengezimmert, wo ich glaubte das 
zumindest v4 Routing gehen sollte - aber da tat sich gar nichts. Also 
hab ich wieder die Firehol aktiviert ;)
(Das Blöde ist, wenn man das am Produktivsystem testen muss, so kann ich 
das nur machen wenn sonst keiner das Internet braucht...)

LG Sebastian


Am 08.01.2025 um 05:14 schrieb Sascha Reißner via Debienna:
> Hi Sebastian,
> 
> dazu wäre auch interessant was Du machen willst.
> Also ich lese nur herraus, dass Du eine Einwahlverbindung hast.
> Klassisch mit einer dynamischen IP oder einer/mehrere fixe IPs?
> willst Du Dienste anbieten oder zumindest von aussen via SSH rein, oder
> soll gar nichts rein?
> 
> Ich selber arbeite seit über 15 Jahren mit iptables und das
> funktioniert immer noch.
> Ich glaub da gibt es eine Rückwertskompatibilität.
> Hab dazu selber ein init-Script geschrieben (/etc/init.d/ipfilter) und
> 2 Configs. Eine, die die Interfaces und Netzwerke beschreiben und eine
> mit den Regeln.
> 
> Dieses Script läuft an mehreren Standorten mit unterschiedlicher
> Konfiguration.
> 
> Was es nicht kann ist zwischen mehreren internen Netzen filtern.
> Mein Grundgedanke war, das innere Netz von Aussen zu schützen.
> Ist aber durch Anpassungen auch sicher möglich zwischen internen Netzen
> (DMZ?) zu differieren.
> 
> Ah, und IPv6 hab ich noch nicht wirklich was gemacht.
> Aber ich schätze wenn man die Befehle iptables gegen ip6tables
> austauscht, bekommt man auch schnell etwas funktionierendes.
> 
> Wenn Du (oder wer Anderer) Interesse daran hat, such ich die letzte
> Version mal raus.
> 
> Am Dienstag, dem 07.01.2025 um 09:54 +0100 schrieb reox via Debienna:
>> Hi!
>>
>> Ich plane meinen heimischen Router von firehol auf nftables zu ändern.
>> Hat jemand das hier schon mal gemacht und hat ein paar Tipps?
>> Insbesondere: Nimmt man heute überhaupt Plain-nftables? Firewalld wird
>> oft empfohlen (zB auch im Debian Wiki) aber XML-Configs finde ich nicht
>> schön... (Ja, ich kenne Elektra ;))
>>
>> Insbesondere was die "router" und IPv4/v6 dual Stack angeht verstehe ich
>> das Prozerdere bei nftables noch nicht so ganz. Das nftables Wiki ist
>> auch nicht so hilfreich, da dort meines Erachtens immer wieder andere
>> Varianten gezeigt werden, die aber irgendwie nirgends erklärt werden.
>> Eine dual Stack Konfiguration (idealerweise von A1 mit PPPoE) als
>> Referenz würde mir vermutlich auch mal helfen!
>>
>> LG Sebastian
>>
>> _______________________________________________
>> Debienna mailing list
>> Debienna at lists.metalab.at
>> https://lists.metalab.at/mailman/listinfo/debienna
> 
> 
> _______________________________________________
> Debienna mailing list
> Debienna at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/debienna

More information about the Debienna mailing list