Proxmox Firewall richtig Einstellen

[RudiP]

Ich habe auf meinem Proxmox eine VM mit HomeAssistant laufen.
Nun habe ich in HomeAssistant gesehen, das da ab und an mal ein Login Versuch einer IP aus Andorra stattgefunden hat.
Ich würde nun gerne die Proxmox Firewall nutzen, um z.B. Andorra komplett auszusperren, eventuell sogar alles aussperren und nur gewisse Geräte zulassen.

Im Rechenzentrum bei Proxmox habe ich die Firewall aktiviert. So wie ich das Verstanden habe, muß die eingeschaltet sein, damit die anderen Firewalls überhaupt arbeiten.
Input Policy: DROP
Output Policy: ACCEPT
Sollte damit nicht eigentlich alles geblockt werden, was von außen rein will ?
Ich habe ansonsten noch keine Regeln definiert. Ich hätte erwartet, das wenn ich an meinem Tablet das WLAN ausschalte und per Mobilfunk in HA rein will, ich dann nicht durch komme.
Die Firewall an der HA VM ist auch aktiviert mit den selben Einstellungen, wie oben.

Anleitungen im Internet habe ich schon versucht, komme damit aber auch nicht wirklich klar.
Kennt jemand ne Anleitung, die erst mal alle Einstellmöglichkeiten vernünftig beschreibt, vorzugsweise auf Deutsch. Bei den englischen Seiten versagt leider zu oft der Übersetzer.
Liege ich mit meiner Vermutung oben richtig ? Firewall eingeschaltet, keine Regeln definiert, dann sollte eigentlich niemand von außerhalb da rein kommen ?

 

[blurrrr]

Wo genau hast Du die Regeln denn gesetzt? Es ist ein Unterschied, ob Du die Default-Regeln setzt (wo dann automatisiert auch Ausnahmen bestehen), oder bei der VM. Für den PVE-Host ist die INPUT-Chain definitiv nicht richtig, das gehört dann in den Firewall-Teil der gewünschten VM.

INPUT = Host eingehend
OUTPUT = Host ausgehend
FORWARD = Weiterleitend (für Pakete, die ein Interface nur durchqueren, aber schlussendlich ein anderes Ziel haben)

Am Beispiel einer davor sitzenden Hardware-Firewall wäre es halt:

INPUT = eingehend zur Firewall
OUTPUT = ausgehend von der Firewall
FORWARD = für die Netze/Hosts hinter der Firewall

Kannst auch mal schauen, was beim Befehl iptables-save auf dem PVE-Host ausgegeben wird.

Betreffend der Firewall-Regeln für die VM/Container kannst Du nochmal einen Blick auf diesen Teil werfen.

Bei den englischen Seiten versagt leider zu oft der Übersetzer.

Die Doku wäre die beste Anlaufstelle und ist leider nur in englischer Sprache verfügbar.

 

[RudiP]

Wo genau hast Du die Regeln denn gesetzt?

ICH habe keine Regeln gesetzt. Das ist die Standard Einstellung, wenn man die Firewall aktiviert.
Ich hatte erst in der HA VM die Firewall aktiviert. Da steht dann der Hinweis, das die Firewall im Rechenzentrum auch aktiviert sein muß, also habe ich die da auch aktiviert.
Und dann steht bei beiden in den Firewall -> Optionen eben
Input Policy: DROP
Output Policy: ACCEPT
Hießt für mich, nix kommt rein (außer die standard freigaben) aber alles kann raus.
Und genau das funktioniert noch nicht

Kannst auch mal schauen, was beim Befehl iptables-save auf dem PVE-Host ausgegeben wird.

Kennst das doch. Gehe ich in der VM auf Konsole, lande ich in der Eingabe von HA. Keine Ahnung, wie ich da auf die OS Ebene kommen soll.

Betreffend der Firewall-Regeln für die VM/Container kannst Du nochmal einen Blick auf diesen Teil werfen.

Schaue ich mir an.

 

[blurrrr]

Den Befehl sollst Du auf dem PVE-Host ausführen

Datacenter Firewall aktivieren, danach nochmal die gewünschten Regeln bei der VM-Firewall setzen (im PVE-Interface bei der VM, nicht in der VM-Shell).