Proxmox Firewall richtig Einstellen

[RudiP]

Ich habe auf meinem Proxmox eine VM mit HomeAssistant laufen.
Nun habe ich in HomeAssistant gesehen, das da ab und an mal ein Login Versuch einer IP aus Andorra stattgefunden hat.
Ich würde nun gerne die Proxmox Firewall nutzen, um z.B. Andorra komplett auszusperren, eventuell sogar alles aussperren und nur gewisse Geräte zulassen.

Im Rechenzentrum bei Proxmox habe ich die Firewall aktiviert. So wie ich das Verstanden habe, muß die eingeschaltet sein, damit die anderen Firewalls überhaupt arbeiten.
Input Policy: DROP
Output Policy: ACCEPT
Sollte damit nicht eigentlich alles geblockt werden, was von außen rein will ?
Ich habe ansonsten noch keine Regeln definiert. Ich hätte erwartet, das wenn ich an meinem Tablet das WLAN ausschalte und per Mobilfunk in HA rein will, ich dann nicht durch komme.
Die Firewall an der HA VM ist auch aktiviert mit den selben Einstellungen, wie oben.

Anleitungen im Internet habe ich schon versucht, komme damit aber auch nicht wirklich klar.
Kennt jemand ne Anleitung, die erst mal alle Einstellmöglichkeiten vernünftig beschreibt, vorzugsweise auf Deutsch. Bei den englischen Seiten versagt leider zu oft der Übersetzer.
Liege ich mit meiner Vermutung oben richtig ? Firewall eingeschaltet, keine Regeln definiert, dann sollte eigentlich niemand von außerhalb da rein kommen ?

 

[blurrrr]

Wo genau hast Du die Regeln denn gesetzt? Es ist ein Unterschied, ob Du die Default-Regeln setzt (wo dann automatisiert auch Ausnahmen bestehen), oder bei der VM. Für den PVE-Host ist die INPUT-Chain definitiv nicht richtig, das gehört dann in den Firewall-Teil der gewünschten VM.

INPUT = Host eingehend
OUTPUT = Host ausgehend
FORWARD = Weiterleitend (für Pakete, die ein Interface nur durchqueren, aber schlussendlich ein anderes Ziel haben)

Am Beispiel einer davor sitzenden Hardware-Firewall wäre es halt:

INPUT = eingehend zur Firewall
OUTPUT = ausgehend von der Firewall
FORWARD = für die Netze/Hosts hinter der Firewall

Kannst auch mal schauen, was beim Befehl iptables-save auf dem PVE-Host ausgegeben wird.

Betreffend der Firewall-Regeln für die VM/Container kannst Du nochmal einen Blick auf diesen Teil werfen.

Bei den englischen Seiten versagt leider zu oft der Übersetzer.

Die Doku wäre die beste Anlaufstelle und ist leider nur in englischer Sprache verfügbar.

 

[RudiP]

Wo genau hast Du die Regeln denn gesetzt?

ICH habe keine Regeln gesetzt. Das ist die Standard Einstellung, wenn man die Firewall aktiviert.
Ich hatte erst in der HA VM die Firewall aktiviert. Da steht dann der Hinweis, das die Firewall im Rechenzentrum auch aktiviert sein muß, also habe ich die da auch aktiviert.
Und dann steht bei beiden in den Firewall -> Optionen eben
Input Policy: DROP
Output Policy: ACCEPT
Hießt für mich, nix kommt rein (außer die standard freigaben) aber alles kann raus.
Und genau das funktioniert noch nicht

Kannst auch mal schauen, was beim Befehl iptables-save auf dem PVE-Host ausgegeben wird.

Kennst das doch. Gehe ich in der VM auf Konsole, lande ich in der Eingabe von HA. Keine Ahnung, wie ich da auf die OS Ebene kommen soll.

Betreffend der Firewall-Regeln für die VM/Container kannst Du nochmal einen Blick auf diesen Teil werfen.

Schaue ich mir an.

 

[blurrrr]

Den Befehl sollst Du auf dem PVE-Host ausführen

Datacenter Firewall aktivieren, danach nochmal die gewünschten Regeln bei der VM-Firewall setzen (im PVE-Interface bei der VM, nicht in der VM-Shell).

 

[RudiP]

Na sag das doch nem blutigen Anfänger.
Ja, Befehl ausgeführt, aber was er da anzeigt, kann ich mir auch Spaghetti in Tomatensoße ansehen, erkenne ich genauso wenig.

Den Link, den Du mir geschickt hattest, führt auch nur auf die Proxmox Seite mit der Hilfe in englisch. Ja, da kann Chrome diese dann wenigstens ins Deutsche übersetzen, aber so richtig hilfreich war das immer noch nicht.
Die Grundfrage bleibt ja. Wenn ich die Firewall aktiviere, sollte jede ankommende Verbindung geblockt werden.

Das sieht man bei "Rechenzentrum -> Firewall -> Optionen"
Gehe ich in die HA VM auf "Firewall -> Optionen" sehe ich das.

Warum komme ich dann von außen immer noch an HA dran ? Dürfte doch eigentlich nicht mehr.

 

[RudiP]

Jetzt bin ich mir auch Sicher, das die Firewall in Proxmox nicht läuft, weil diese Nacht wieder unser Andorra Freund einbrechen wollte.
HA hats gemerkt, die Proxmox Firewall nicht.
In der VM hatte ich folgende Regel erstellt.

Hatte ich Gedacht, wenn einer mit der IP xxx.xxx.xx.xx und via HTTPS kommt, das die Firewall ihn dann blockt.
Tja, falsch gedacht. Der war diese Nacht wieder da.
Nein, ich habe diese Regel nicht im Rechenzentrum eingegeben. Es muß ja möglich sein, zu sagen, das eine bestimmte IP zwar auf eine gewisse VM darf, aber auf eine andere nicht. Diese IP dann im Rechenzentrum blocken würde die ja für alle VM's blocken.
Hab jetzt mal "Makro: HTTPS" raus genommen und "Protokoll: tcp" eingestellt. Mal schauen, ob es damit klappt.

 

[blurrrr]

Also zum einen ganz "global" unter:

Datacenter | Firewall -> Optionen -> "Firewall" aktivieren ("yes")
Datacenter | Firewall -> sonstige gewünschte Regeln (Default-Ausnahmen lt. Doku greifen sowieso)

Zum anderen spezifisch für die VM:

Datacenter | <PVE-Host> | <VM> | Firewall -> gewünschte Regeln (auch hier greifen schon Default-Ausnahmen)

Hast Du das auch so gemacht?

In der VM hatte ich folgende Regel erstellt.

Das liest sich ja nun wie letzteres (Datacenter|PVE-Host|VM), die Frage ist nur... Ist das Ding auch von aussen via 443/TCP erreichbar? Aber davon ab... willst Du wirklich "nur" HTTPS verbieten? Also bei mir wäre die Regel eher in die Richtung "is mir völlig egal wat wie wo, ob rein, raus, mittendrin oder auch nur dran vorbei, das Ding hat hier nix verloren...", von daher würde ich da auch so wenig wie möglich angeben.

Wie gesagt, wenn etwas nicht wie gewünscht funktioniert, iptables-save in der PVE-Shell eingeben. Was mit noch aufgefallen ist... bzw. was generell ratsam wäre...

Zum einen wählst Du Source aus, da wird dann direkt etwas mit "Type, Name und Comment" gelistet (Spaltenüberschriften. Die Angabe einer IP-Adresse scheint mir dort nicht ganz korrekt zu sein (mag mich aber auch irren). Hatte nun mal a) ein Alias angelegt und b) ein IP-Set (letzteres halte ich in Deinem Fall auch für sinnvoller, da kann man dann immer weiter unerwünschte Hosts reinpacken). Diese tauchen dann auch sofort zur Auswahl in der Firewall-Regel im VM-Kontext auf:



Vielleicht funktioniert es so ja besser... aber so oder so, würde ich "immer" auf der PVE-Shell mittels iptables-save schauen, ob das auch alles passt.

 

[RudiP]

Datacenter | Firewall -> Optionen -> "Firewall" aktivieren ("yes")
Datacenter | Firewall -> sonstige gewünschte Regeln (Default-Ausnahmen lt. Doku greifen sowieso)

Zum anderen spezifisch für die VM:

Datacenter | <PVE-Host> | <VM> | Firewall -> gewünschte Regeln (auch hier greifen schon Default-Ausnahmen)

Hast Du das auch so gemacht?

So hatte ich es anfangs gemacht, einmal komplett neu gestartet. Dann dem Tablet das WLAN genommen, so das er via Mobilfunk zu mir nach Hause telefoniert und dann HA aufgerufen und, schwupps, drin. Was aber eigentlich gar nicht sein dürfte, da ja per DEFAULT alles gesperrt sein sollte, außer Port 8006 und Port 22.
Da das also nicht funktioniert hatte, habe ich dann versucht, mir Regeln weiter zu kommen.

Das liest sich ja nun wie letzteres (Datacenter|PVE-Host|VM), die Frage ist nur... Ist das Ding auch von aussen via 443/TCP erreichbar?

HA auf jeden fall. Zugriff von unterwegs erfolgt via DUCKDNS mit HTTPS, damit also Port 443.
Im Router eine Freigabe 443 extern auf 8123 intern.
Lustig ist, die ist deaktiviert und trotzdem komme ich rein. Ob der über IPv6 kommt ? Mal testen.
IPv6 Freigabe deaktiviert, Tablet wieder auf Mobilfunk. HA App aufgerufen und schwupps, drin.
Irgendwie mogelt sich die HA App an den Freigaben vorbei.
Ok, irgendwas läuft gerade komplett schief. Port 443 habe ich nochmal im Router frei gegeben und die IPv6 zu gemacht.
Dann vom Tablet einen Portscan auf meine externe IP und der sagt, alle Port sind zu.
Egal, schaue ich mir später an. Tut ja an dem Firewall Problem nix.

Aber davon ab... willst Du wirklich "nur" HTTPS verbieten? Also bei mir wäre die Regel eher in die Richtung "is mir völlig egal wat wie wo, ob rein, raus, mittendrin oder auch nur dran vorbei, das Ding hat hier nix verloren...", von daher würde ich da auch so wenig wie möglich angeben.

Wenn Du mir in den Einstellungen der Firewall bei Proxmox ein "Protokoll: ALL" oder "Makro: ALL" zeigen kannst, gerne.
War auch nur einer der Versuche, das System irgendwie dicht zu machen.

Wie gesagt, wenn etwas nicht wie gewünscht funktioniert, iptables-save in der PVE-Shell eingeben. Was mit noch aufgefallen ist... bzw. was generell ratsam wäre...

Wie gesagt. Die Ausgabe dieses Befehl sieht aus wie ein Teller Nudeln mit Tomatensoße.

Zum einen wählst Du Source aus, da wird dann direkt etwas mit "Type, Name und Comment" gelistet (Spaltenüberschriften. Die Angabe einer IP-Adresse scheint mir dort nicht ganz korrekt zu sein (mag mich aber auch irren).

War auch nur ein Versuch. IPListen erschien mir auch besser geeignet, aber ich wollte auch nicht an zu vielen Schrauben drehen, sonst verläuft man sich oder es geht gar nichts mehr.

Vielleicht funktioniert es so ja besser... aber so oder so, würde ich "immer" auf der PVE-Shell mittels iptables-save schauen, ob das auch alles passt.

Ich schick Dir den Output gleich mal als PN, dann darfst Du mir gerne sagen, was er da den anzeigt.

 

[RudiP]

Ok, den Fehler, warum ich trotz fehlender Port Weiterleitung immer noch an HA dran gekommen bin, ist gefunden.
Ich habe aktuell zwei Router. Einer für DSL, der andere am Glasfaser.
Der am DSL, die FritzBox, hatte eigentlich immer die Port Weiterleitungen gemacht. Hab glatt vergessen, das ich die in dem Glasfaser Router auch schon eingerichtet hatte.