UFW-Regeln bei Nutzung von KVM

Firewall Nov. 24, 2018

Mein favorisierter Hoster Hetzner hat zur Zeit eine Aktion am Laufen, bei der alle Server über das Black Friday-Wochenende hinweg ohn Setup-Gebühren bestellbar sind. Dies hab ich zum Anlass genommen um von den Cloud-Servern zu einem EX41 zu wechseln. Mittels Libvirt und KVM laufen dort nun mehrere virtuelle Maschinen.

Bei der Absicherung der Server greife ich gerne auf den iptables-Wrapper UFW zurück, dessen Syntax ich einfach angenehmer finde.

In der Regel verbiete ich erst einmal sämtliche offene Ports und öffne dann nur die wirklich benötigten. Nun sorgte dies allerdings dafür, dass ich die virtuellen Maschinen nicht mehr erreichen konnte. Dafür müssen entsprechende Forwarding-Regeln hinzugefügt werden.

In meinem Fall nutze ich kein zusätzliches Subnetz von Hetzner, sondern lediglich einzelne zusätzliche IPs. Diese müssen nun in der Datei /etc/ufw/before.rules wie folgt hinzugefügt werden:

-A FORWARD -d nn.nn.nn.nn -j ACCEPT-A FORWARD -s nn.nn.nn.nn -j ACCEPT-A FORWARD -d [2a01:4f9:xx:xx::xx] -j ACCEPT-A FORWARD -s [2a01:4f9:xx:xx::xx] -j ACCEPT

Anschließend reicht ein ufw disable und ufw enable und die virtuellen Maschinen sind wieder erreichbar.

Tim Scharner

88er Jahrgang, gebürtiger Dortmunder, System Administrator

Great! You've successfully subscribed.
Great! Next, complete checkout for full access.
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.