Umgang mit nftables: Unterschied zwischen den Versionen

IMT HilfeWiki - das Wiki
(Die Seite wurde neu angelegt: „{{article |type=Anleitung |service=Service:Housing und Hosting |targetgroup=Angestellte,Studierende,Gäste |hasdisambig=Nein }} {{template caller‏‎ |marker…“)
 
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{article
 
{{article
 
|type=Anleitung
 
|type=Anleitung
 +
|os=Linux
 
|service=Service:Housing und Hosting
 
|service=Service:Housing und Hosting
|targetgroup=Angestellte,Studierende,Gäste
+
|targetgroup=Angestellte, Studierende
|hasdisambig=Nein
+
|hasdisambig=Ja
 +
|disambiguation=Hosting - OS
 
}}
 
}}
 
{{template caller‏‎
 
{{template caller‏‎
 
|marker=Stub
 
|marker=Stub
 
}}
 
}}
Kurzer Einleitungstext
+
Auf Servern im Hostingmodell OS setzt das IMT auf eine lokale Firewall auf dem Server, die mittels nftables realisiert wird.
 +
In dieser Anleitung werden konkrete Beispiele gegeben, um die Firewall wie gewünscht zu manipulieren.
 +
== nftables ==
 +
Einen kurzen Überblick gibt es hier: https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes
  
== Was ist zu tun? ==
+
=== Struktur der IMT Regeln ===
* Stichpunktartige Auflistung
+
Wir legen für ipv6 und ipv4 verschiedene Tabellen in nftables an. Diese heissen ip und ip6.
* aller Arbeitsschritte
+
Im Normalfall sind für Kunden folgende Zeilen relevant:
 +
<syntaxhighlight lang="text">
 +
        chain custom_rules {
 +
                tcp dport { mysql, 9200, 9300, 27017-27019 } jump log-reject comment "No remote access to mysql, mongodb, elasticsearch"
 +
                tcp dport ssh counter  jump ssh comment "jump to ssh chain once"
 +
                tcp dport ssh counter jump admin_access comment "jump to ssh chain once"
 +
                tcp dport ssh counter jump log-reject comment "Drop everything ssh that was not allowed yet"
 +
                counter  accept comment "Hosted Server accepts everything that is not explicitly filtered"
 +
        }
 +
</syntaxhighlight>
  
== Schritt-für-Schritt Anleitung ==
+
Somit wird automatisch der komplette Zugriff auf den Host freigegeben, der nicht in den Ports (22,3306,9200,9300,27017-27019) liegt.
Jeder Arbeitschritt wird hier genau erklärt und ggf. mit Screenshots hinterlegt.
+
Wollen Sie den Zugriff weiter einschränken, können Sie das über eine Datei in /etc/nftables.d realisieren. Es liegt bereits eine Beispieldatei im Ordner, an der Sie sich orientieren können.
  
=== Dabei sollten ===
+
=== SSH Zugriff ===
Unterschritte
+
Obwohl Sie ohne Probleme auch den SSH-Zugriff selber anlegen könnten, wäre es ratsam, diesen mit dem IMT abzustimmen, da in der Regel die Datacenter Firewall keinen SSH Zugriff von überall erlaubt, sondern nur von speziellen Jump-Hosts.
  
=== in sinnvolle Abschnitte ===
+
== Docker ==
unterteilt werden
+
Falls Sie Docker auf Ihrem Server einsetzen wollen, dann sagen Sie uns bitte bescheid ([[Optionale Pakete]]), damit wir docker korrekt konfigurieren können. Sonst kann es dazu führen, dass eine Änderung an den Regeln Anwendungen, die in docker Containern laufen, unerreichbar macht.
  
=== dazu nutzt man dann ===
+
== Externe Firewalls ==
Überschriften dritter Ordnung
+
Bitte beachten Sie, dass ihr Server hinter weiteren Firewalls steht. Nur weil ein Port auf dem Server geöffnet wurde, heißt nicht, dass dieser automatisch aus dem Internet erreichbar ist. Bitte besprechen Sie das weitere Vorgehen mit dem IMT.  
 
 
=== Nebenbei ===
 
* Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
 
* Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.
 
  
 
== Siehe auch ==
 
== Siehe auch ==
Weitere interessante Artikel zum gleichen Themenfeld verlinken
+
[[Hosting - OS]]

Aktuelle Version vom 2. März 2022, 08:37 Uhr

Anleitung
Linux Linux
Informationen
BetriebssystemLinux
ServiceHousing und Hosting
Interessant fürAngestellte und Studierende
Linux Portalseite

no displaytitle found: Umgang mit nftables

For other articles about this topic, see Hosting - OS

Auf Servern im Hostingmodell OS setzt das IMT auf eine lokale Firewall auf dem Server, die mittels nftables realisiert wird. In dieser Anleitung werden konkrete Beispiele gegeben, um die Firewall wie gewünscht zu manipulieren.

nftables[Bearbeiten | Quelltext bearbeiten]

Einen kurzen Überblick gibt es hier: https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes

Struktur der IMT Regeln[Bearbeiten | Quelltext bearbeiten]

Wir legen für ipv6 und ipv4 verschiedene Tabellen in nftables an. Diese heissen ip und ip6. Im Normalfall sind für Kunden folgende Zeilen relevant:

        chain custom_rules {
                tcp dport { mysql, 9200, 9300, 27017-27019 } jump log-reject comment "No remote access to mysql, mongodb, elasticsearch"
                tcp dport ssh counter  jump ssh comment "jump to ssh chain once"
                tcp dport ssh counter jump admin_access comment "jump to ssh chain once"
                tcp dport ssh counter jump log-reject comment "Drop everything ssh that was not allowed yet"
                counter  accept comment "Hosted Server accepts everything that is not explicitly filtered"
        }

Somit wird automatisch der komplette Zugriff auf den Host freigegeben, der nicht in den Ports (22,3306,9200,9300,27017-27019) liegt. Wollen Sie den Zugriff weiter einschränken, können Sie das über eine Datei in /etc/nftables.d realisieren. Es liegt bereits eine Beispieldatei im Ordner, an der Sie sich orientieren können.

SSH Zugriff[Bearbeiten | Quelltext bearbeiten]

Obwohl Sie ohne Probleme auch den SSH-Zugriff selber anlegen könnten, wäre es ratsam, diesen mit dem IMT abzustimmen, da in der Regel die Datacenter Firewall keinen SSH Zugriff von überall erlaubt, sondern nur von speziellen Jump-Hosts.

Docker[Bearbeiten | Quelltext bearbeiten]

Falls Sie Docker auf Ihrem Server einsetzen wollen, dann sagen Sie uns bitte bescheid (Optionale Pakete), damit wir docker korrekt konfigurieren können. Sonst kann es dazu führen, dass eine Änderung an den Regeln Anwendungen, die in docker Containern laufen, unerreichbar macht.

Externe Firewalls[Bearbeiten | Quelltext bearbeiten]

Bitte beachten Sie, dass ihr Server hinter weiteren Firewalls steht. Nur weil ein Port auf dem Server geöffnet wurde, heißt nicht, dass dieser automatisch aus dem Internet erreichbar ist. Bitte besprechen Sie das weitere Vorgehen mit dem IMT.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Hosting - OS


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: imt@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des IMT

Das IMT:Notebook-Café (Raum I0.401) bietet in der vorlesungsfreien Zeit nur eingeschränkten Support

Mo Di-Do Fr
Vor-Ort-Support - 09-13 Uhr -
Telefonsupport 08:30-13 Uhr & 13:30-15 Uhr 08:30-13 Uhr

Das IMT:Servicecenter Medien auf H1 hat aktuell von Montag bis Freitag von 08:00-13:00 Uhr geöffnet.


Cookies helfen uns bei der Bereitstellung des IMT HilfeWikis. Bei der Nutzung vom IMT HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.