Allgemein

UFW mit mehreren Netzwerkkarten

Claus-Peter Malek

Da mich das Ganze ein paar Stunden und einige graue Haare gekostet nun endlich mal wieder ein Blog- Eintrag.
Ziel war einfach: Eine Linux Kiste, die verschiedene Netzwerke voneinander trennt. Dazu die UFW von Ubuntu zu nehmen lag eigentlich nahe.
Also VM gebaut, vier Netzwerkkarten mit den jeweiligen Netzwerken. Und dann die Regeln machen und fertig. Ja, denkste.

Alles erlaubt

Erster Stolperstein. Die Standardeinstellung für geroutete Pakete war "allow". Warum um alles in der Welt ist die Standardeinstellung in einer Firewall "allow"???

Das lässt sich beheben mit:

sudo ufw default deny routed

Wie es eingestellt ist sieht man mit:

sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), **deny (routed)**
New profiles: skip

To                         Action      From
--                         ------      ----
....

und dann geht nix mehr

So, jetzt ist’s dicht. Nix geht rein und raus. Aber warum greifen meine tollen Regeln denn nicht? In allen Anleitungen für die UFW steht:

# !!! falsch !!!
sudo ufw allow from 192.168.177.66 to 192.168.178.110

Also es steht nicht genauso da, aber für mich war es logisch. Leider klappt das halt genau gar nicht.
Richtig geht es so:

# So geht es:
sudo ufw **route** allow from 192.168.177.66 to 192.168.178.110

Man muss angeben, das das Paket geroutet werden darf. Ohne die "route" funktioniert es nur, wenn es um Pakete von oder zur lokalen Maschine geht. Sollen Sie geroutet werden, dann muss das auch angegeben werden.

Leave a Reply

Your email address will not be published. Required fields are marked *