jb_alvarado
Lieutenant
- Registriert
- Sep. 2015
- Beiträge
- 593
Hallo Allerseits,
Ist das ok wenn ich hier ein paar Fragen zusammenfasse?
Ich habe lange Zeit firehol eingesetzt. Da dort allerdings schon seit längerem die Manpower fehlt um nach nftables zu wechseln, spiele ich schon seit einiger Zeit mit dem Gedanken zu wechseln. Dazu kommt, dass Debian 11 standardmäßig gar kein iptables mehr installiert haben wird, was auch darauf hinweist, dass man sich so langsam mal an nftables gewöhnen sollte.
Ich brauche die Firewall hauptsächlich zum routen von Traffic zwischen Host und VMs.
Auf dem Debian Wiki steht nun allerdings, dass man Firewalld einsetzten sollte. Das kenne ich zwar von CentOS konnte mich damit aber nie anfreunden. Da Firewalld ja nur ein Frontend ist, könnte ich das ja ignorieren und mich ganz in nftables vertiefen. Allerdings stelle ich mir die Frage, ob das auf Dauer vielleicht Nachteile haben könnte. Z.B. wird an Firewalld gelobt, dass es von Docker, libvirt usw. genutzt werden kann.
Heißt das jetzt, dass ich irgendwann Firewalld auf dem System haben muss, um Docker und ähnliches einsetzten zu können?
Wie verträgt sich Docker überhaupt mit eigenen nftables Scripten? Kann das gemischt werden?
Das nächste was mich interessieren würde, ist eure Meinung zu verschiedenen DDoS Maßnahmen auf Firewall Ebene. Wenn ich jetzt einen Hoster habe, der sowieso sein Netz gegen DDoS absichert, macht es da überhaupt noch Sinn hier eigene Regeln zu definieren?
Zu dem Thema habe ich das gefunden: nftables-hardening-rules-and-good-practices. Schaut soweit nett aus, allerdings verstehe ich nicht alle Regeln bis in die Tiefe, daher habe ich etwas Probleme damit, das einfach zu kopieren.
Was mich noch interessieren würde sind die Sets die man in nftables erstellen kann. Wenn ich das richtig verstehe, kann man damit quasi auch ipset ersetzten. Wie wäre hier denn die richtige Herangehensweise, wenn ich Blacklisten regelmäßig updaten möchte? Muss nach jedem Update die ganze Firewall neu gestartet werden, oder können die Regeln einzeln aktualisiert werden?
Und zu guter Letzt: Man kann ja Ordner includen, deren Inhalt dann automatisch mit initialisiert wird. Wie würden denn diese Konfigurationen in diesem Ordner aussehen? Genau wie die Hauptkonfiguration? Mit eigenen Tabellen? Was passiert, wenn dort auch eine Input Kette definiert ist, wird das einfach gemischt?
Ist das ok wenn ich hier ein paar Fragen zusammenfasse?
Ich habe lange Zeit firehol eingesetzt. Da dort allerdings schon seit längerem die Manpower fehlt um nach nftables zu wechseln, spiele ich schon seit einiger Zeit mit dem Gedanken zu wechseln. Dazu kommt, dass Debian 11 standardmäßig gar kein iptables mehr installiert haben wird, was auch darauf hinweist, dass man sich so langsam mal an nftables gewöhnen sollte.
Ich brauche die Firewall hauptsächlich zum routen von Traffic zwischen Host und VMs.
Auf dem Debian Wiki steht nun allerdings, dass man Firewalld einsetzten sollte. Das kenne ich zwar von CentOS konnte mich damit aber nie anfreunden. Da Firewalld ja nur ein Frontend ist, könnte ich das ja ignorieren und mich ganz in nftables vertiefen. Allerdings stelle ich mir die Frage, ob das auf Dauer vielleicht Nachteile haben könnte. Z.B. wird an Firewalld gelobt, dass es von Docker, libvirt usw. genutzt werden kann.
Heißt das jetzt, dass ich irgendwann Firewalld auf dem System haben muss, um Docker und ähnliches einsetzten zu können?
Wie verträgt sich Docker überhaupt mit eigenen nftables Scripten? Kann das gemischt werden?
Das nächste was mich interessieren würde, ist eure Meinung zu verschiedenen DDoS Maßnahmen auf Firewall Ebene. Wenn ich jetzt einen Hoster habe, der sowieso sein Netz gegen DDoS absichert, macht es da überhaupt noch Sinn hier eigene Regeln zu definieren?
Zu dem Thema habe ich das gefunden: nftables-hardening-rules-and-good-practices. Schaut soweit nett aus, allerdings verstehe ich nicht alle Regeln bis in die Tiefe, daher habe ich etwas Probleme damit, das einfach zu kopieren.
Was mich noch interessieren würde sind die Sets die man in nftables erstellen kann. Wenn ich das richtig verstehe, kann man damit quasi auch ipset ersetzten. Wie wäre hier denn die richtige Herangehensweise, wenn ich Blacklisten regelmäßig updaten möchte? Muss nach jedem Update die ganze Firewall neu gestartet werden, oder können die Regeln einzeln aktualisiert werden?
Und zu guter Letzt: Man kann ja Ordner includen, deren Inhalt dann automatisch mit initialisiert wird. Wie würden denn diese Konfigurationen in diesem Ordner aussehen? Genau wie die Hauptkonfiguration? Mit eigenen Tabellen? Was passiert, wenn dort auch eine Input Kette definiert ist, wird das einfach gemischt?