# ufw eigene Regeln ergänzen



## darkness_08 (9. Apr. 2016)

Hallo,
ich habe heute auf meinem Server UFW installiert. Läuft auch soweit mit ispconfig zusammen.
Wie kann ich denn zusätzliche, eigene Regeln in UFW definieren (nicht über ISPConfig-Oberfläche). Die bestehenden werden durch ISPConfig ja überschrieben.


----------



## robotto7831a (9. Apr. 2016)

Die Firewall in ISPConfig wird ja einmal konfiguriert und dann sollte es ja passen. Also kannst du ja hinterher manuell weitere Regeln hinzufügen.

Was für eine Regel willst Du denn z. B. hinzufügen?


----------



## darkness_08 (11. Apr. 2016)

ich schließe den Port 3306 und gebe ihn nur für bestimmte IPs frei. Dachte das ich dies auch mit in den User oder Afterregeln angeben könnte.


----------



## robotto7831a (11. Apr. 2016)

Du erstellst ja in ISPConfig einmal die Ports ein und dann sollte sich ja nicht mehr so viel ändern. Und dann würde ich auf der Kommandozeile die entsprechenden ufw Befehle nachfeuern und fertig. Eventuell könnte man die Einstellungen noch in den ufw Konfigurationsdateien hinterlegen.


----------



## darkness_08 (11. Apr. 2016)

Danke, muss ich mir mal anschauen. Ist UFW eigentlich Neustartsicher. Oder muss ich die Regeln auch mit iptables-save sichern?
Bisher habe ich das Problem, dass die aktivierte FW alles block, obwohl die Ports freigegeben sind.


----------



## robotto7831a (11. Apr. 2016)

UFW liest beim Programmstart die Regeln aus den Konfigurationsdateien.


----------



## darkness_08 (13. Apr. 2016)

Danke


----------



## darkness_08 (14. Apr. 2016)

Ich habe mal die Firewall in ISP-Config aktiviert. Leider tauchen dann mehrere Probleme auf:
Server1:
Server2 ist Mirror von Server1
Server1+2 laufen als VM auf dem gleichen Host.

Problem 1: Es werden alle IP4-Verbindungen geblockt. IPv6 läuft ohne Probleme
Problem 2: Server 1+2 haben eine zweite Netzwerkkarte (eth1) um intern Daten auszutauchen(unison usw). Hier werden ebenfalls alle Verbindungen geblockt. 
Hängt, denke ich mit Problem1 zusammen, da ebenfalls IPv4
Hat ISPConfig (UFW) Probleme mit zwei Netzwerkkarten? Ich denke doch das es egal ist, da die Regeln ja für alle Interfaces gelten.


----------



## Till (14. Apr. 2016)

Schau Dir doch die vorhandenen Regeln einfach mit den entsprechenden ufw befehlen an. ispconfig macht doch auch nichts anderes als die ports per ufw befehl freizuschalten.


----------



## mzips (14. Apr. 2016)

Ich Klinke mich mal ein schön wäre es evtl. das Firewall Modul ein wenig zu ergänzen um z.b. IP Adressen zu blocken die bei Fail2Ban immer wieder auftauchen das erspart die Zeit auf das Terminal zu wechseln.


----------



## darkness_08 (14. Apr. 2016)

das Problem scheint an der Chain INPUT für IPv4 zu liegen. Diese ist leer.


----------



## mzips (14. Apr. 2016)

öhm mal eine ganz dumme Frage, hast du die Firewall auch enable in Ispconfig 3 sry die Frage evtl. ist sie ja auch nicht berechtigt aber ich habe 2 mal den Fehler in der v 3.1a gehabt und stunden gesucht doch die Lösung gab mir Florian:
ln -s /usr/local/ispconfig/server/plugins-available/firewall_plugin.inc.php /usr/local/ispconfig/server/plugins-enabled
evtl. Hilft es ja weiter.

LG


----------



## darkness_08 (14. Apr. 2016)

Bin für jede Idee dankbar. Aber aktiviert ist die Firewall. IPv6 wird ja auch berücksichtigt. Nur bei IPv4 ist die input-tabelle leer.
gleiches Bild wenn ich die Firewall mir ufw enable manuell starte.


----------



## mzips (14. Apr. 2016)

Welche Distro benutzt du ?
Welche Ispconfig Version?
Sicher das nur UFW auf deinem System Installiert ist ?
Bastille Firewall vom System entfernt ?

Also ich würde wie folg vorgehen.
Firewall Einträge im Ispconfig löschen
Firewall in Serververwaltung auf UFW stellen
ufw reset
ufw enable
ufw allow ssh
ufw allow 8080/tcp
dann in Ispconfig Firewall regeln anlegen


----------



## mzips (14. Apr. 2016)

Axo da du 2 Netzwerkkarten hast wie ist es da aufgeteilt eth0 und eth1 ?

ufw allow in on eth0 to any port 8080
ufw allow in on eth1 to any port 8080


----------



## darkness_08 (14. Apr. 2016)

Es läuft ein debian jessie mit ISPConfig 3.0.5.4p9.
Ufw ist in der Serververwaltung ausgewählt.
ufw reset habe ich durchgeführt und SSH ist freigegeben. Im Moment arbeite ich nur auf der Konsole ohne ISPconfig.
Sobald ich die Firewall aktiviere sieht es so aus:
iptables -L Input:


> Chain INPUT (policy DROP 27 packets, 3176 bytes)
> pkts bytes target  prot opt in  out  source  destination


ip6tables -L INPUT:

```
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination      
385K   91M ufw6-before-logging-input  all      any    any     anywhere             anywhere         
385K   91M ufw6-before-input  all      any    any     anywhere             anywhere         
374K   90M ufw6-after-input  all      any    any     anywhere             anywhere         
374K   90M ufw6-after-logging-input  all      any    any     anywhere             anywhere         
374K   90M ufw6-reject-input  all      any    any     anywhere             anywhere         
374K   90M ufw6-track-input  all      any    any     anywhere             anywhere
```
Ja eth0 und eth1 ist die Aufteilung

ufw status:

```
Status: active

To                         Action      From
--                         ------      ----
ssh/tcp                   ALLOW       Anywhere
ssh/tcp                   ALLOW       Anywhere (v6)
```


----------



## darkness_08 (14. Apr. 2016)

ich konnte alles ein wenig eingrenzen. Wenn ich den Server neu starte, sind alle Regeln in INPUT IPv4 vorhanden. Starten und stoppen von UFW ist kein Problem.
Aktiviere ich die Firewall in ISPConfig werden alle regeln in Chain INPUT  IPv4 gelöscht und nichts neu erstellt


----------



## darkness_08 (14. Apr. 2016)

Jetzt scheint es endgültig gelöst zu sein. 
Ich hatte Bastille gestoppt und danach 
	
	



```
update-rc.d -f bastille-firewall remove
```
 ausgeführt.
Aber ich musste das Startscript auch aus /etc/init.d/ entfernen. Dancha läuft alles...


----------

