[Debienna] firehol -> nftables
Sascha Reißner
reiszner at novaplan.at
Mon Jan 13 09:01:52 CET 2025
Ist bei uns so ähnlich.
Nur, dass es bei uns ein anderer Provider ist und wir das VLAN 31
benutzen.
Darüber starten wir dann auch eine PPP und beziehen eine IP.
Über diese Verbindung werden dann unsere statischen IPs durch
geroutet/gereicht.
Im übrigen haben wir eine 56-Maske bei IPv6.
Genauso ist es auch vorgesehen. Provider bekommen 48er-Masken und die
Kunden sollten 56er-Masken bekommen.
Am Mittwoch, dem 08.01.2025 um 08:43 +0100 schrieb reox via Debienna:
> Hi!
>
> Also zum Hintergrund: ich hab A1 und dort muss man zunächst im VLAN 2
> sein und kann dann dort PPPoE starten. Ich erhalte eine public v4
> Adresse und ein /64 v6 Prefix (Anm.: Ich hab schon bei A1 gefragt ob sie
> nicht /56 hergeben, aber das geht laut ihnen nicht...).
> Auf dem Router rennt nach außen hin offen nur ein Wireguard und SSH ist
> bestimmten src-IPs erlaubt. Intern gibt es mehrere VLANs und als Dienste
> DHCP & DNS (sowie SSH). Einzige "Spezialkonfiguration" ist ein VLAN, aus
> dem nur ein Host routen darf und in das es aus einem anderen VLAN routen
> gibt.
>
> Die firehol funktioniert seit eh und je gut und ich hab damit eigentlich
> keine Probleme. Jedoch wird mittlerweile nftables empfohlen und ist in
> neuen systemen als default aktiv und ich wollte mich damit einfach
> beschäftigen. Der Start erscheint mir noch etwas steiler zu sein als mit
> iptables - vielleicht ist das aber auch nur mein Eindruck.
> Ich hatte mir ein Ruleset zusammengezimmert, wo ich glaubte das
> zumindest v4 Routing gehen sollte - aber da tat sich gar nichts. Also
> hab ich wieder die Firehol aktiviert ;)
> (Das Blöde ist, wenn man das am Produktivsystem testen muss, so kann ich
> das nur machen wenn sonst keiner das Internet braucht...)
>
> LG Sebastian
--
mfG Sascha
GPG fingerprint: 5A68 F665 44E6 0E50 001C 75A6 92BB DD59 6C5F DC0F
GPG key:
https://pgp.mit.edu/pks/lookup?search=0x92BBDD596C5FDC0F&op=vindex&fing
erprint=on&exact=on
Haschisch erweitert ihr Bewußtsein - aber nur, wenn Sie vorher eines
hatten.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: This is a digitally signed message part
URL: <http://lists.metalab.at/pipermail/debienna/attachments/20250113/49650e4a/attachment.sig>
More information about the Debienna
mailing list