Univentio Firewall, Source-IP

Hallo miteinander,

ich find im Internet einfach nichts diesbezüglich,
also hier meine Frage:

Wie kann ich mit UCR-Variablen einen Port für einen IP-Range Freigeben?

aktuell habe ich es mit IP-Tables so gelöst:
ACCEPT tcp – 172.16.112.0/24 anywhere tcp dpt:smtp
ACCEPT tcp – 91.212.136.0/29 anywhere tcp dpt:smtp
REJECT all – anywhere anywhere reject-with icmp-port-unreachable

Jedoch ist das halt nicht reboot Persistent, bzw. beim Reload der Firewall werden diese manuellen Einträge wieder gelöscht

Also? :slight_smile:

Mit freundlichen Grüßen,
Rene

Hallo,

wie die Firewallregeln angepasst werden können ist im Handbuch und im Entwicklerhandbuch beschrieben.

http://docs.software-univention.de/handbuch-4.1.html#ip-config:Paketfilter_mit_Univention_Firewall
http://docs.software-univention.de/developer-reference-4.1.html#misc:nacl:ucr

Hallo nochmal,

ich hab noch etwas recherchiert und festgestellt, dass Ihr Anliegen so nicht via UCRV umgesetzt werden kann.
Für lokale eigene Anpassungen gibt es aber die Datei

/etc/security/packetfilter.d/50_local.sh

Hier können die eigenen Regeln eingetragen werden, die dann automatisch mitgeladen werden.
Für die Syntax hilft ein Blick in das bestehende Skript

/etc/security/packetfilter.d/10_univention-firewall_start.sh
1 Like

Hallo,

[quote]
Hier können die eigenen Regeln eingetragen werden, die dann automatisch mitgeladen werden.
Für die Syntax hilft ein Blick in das bestehende Skript

/etc/security/packetfilter.d/10_univention-firewall_start.sh

Perfekt hat funktioniert danke,

Mit freundlichen Grüßen,
Rene

Hat mir auch 2022 geholfen, nachdem ich die Konfiguration eines Member-Systems aus einer Testumgebung in die produktive übertragen wollte und scheiterte. Warum? In der Testumgebung habe ich direkt in die iptables geschrieben, gespeichert und alles war gut.
In der produktiven Umgebung waren die Regeln nicht persistent und waren nach jedem Dienst- oder Server-Neustart weg.

Danke Christina :slight_smile:

Mastodon