CCU-Protect v3.01 (obsolete) - Lokale Firewall für die CCU3

[blackhole]

Hallo zusammen,

analog zu Anwesenheit BT (v3.01) habe ich in der Zwischenzeit eine für meine Zwecke optimierte Version von CCU-Protect (v3.01) erstellt.

Neben der Vorbereitung hinsichtlich kommender Änderungen bei der CCU3 wurden hauptsächlich die bisher genutzten TCL-Skripte wegoptimiert und Interaktionen mit der ReGa durchgängig auf cURL umgestellt.

Mir ist bewusst, dass diese Version (noch) nicht für alle Nutzer von Interesse ist, daher biete ich diese Version ausdrücklich für Nutzer an, die CCU-Protect v2.92 bereits im Einsatz haben und eine CCU3 nutzen.

Im üblichen .tar.gz-Archiv werden auf Zuruf per PN drei Dateien geliefert, welche gegen bereits vorhandene Dateien im Verzeichnis /usr/local/addons/ccu-protect ausgetauscht werden müssen. Die alten TCL-Skripte können anschließend aus den Verzeichnis /usr/local/addons/ccu-protect gelöscht werden. Die vorhandene Konfigurationsdatei bleibt unangetastet und bedarf keiner umstellungsbedingten Anpassung.

Je nach Interesse an diese optimierte Version werde ich diese zu einem späteren Zeitpunkt parallel zu CCU-Protect v2.92 zum direkten Download als Update mit entsprechender Anleitung anbieten. [erledigt]

Für eventuelle neue Nutzer ist CCU-Protect v2.92 nach wie vor der richtige Einstieg.

[netfox]

Hallo zusammen,

Frage / Anmerkung zur iptables-Problematik auf der CCU3:

Bei Betätigung von --> Einstellungen --> Systemsteuerung --> Firewall --> OK (selbst ohne Änderungen).
wird das iptables-Regelset neu gesetzt, in meinem Fall - ich habe alles in der WebUI-"Fireall" geblockt - ist das:

-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9293 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 43439 -j ACCEPT
-A INPUT -p udp -m udp --dport 43439 -j ACCEPT
-A INPUT -p udp -m udp --sport 23272 -j ACCEPT
-A INPUT -p udp -m udp --dport 23272 -j ACCEPT
-A INPUT -p udp -m udp --dport 43438 -j ACCEPT
-A INPUT -p udp -m udp --dport 1900 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT

Damit sind die durch ccu-protect angelegten Regeln weg - jedoch ist natürlich die Systemvariable "Firewall" noch immer
der Meinung, dass die Firewall aktiviert ist (ob das in ccu-protect v3 anders ist, kann ich erst prüfen,
wenn ich die Version erhalten habe.)


Kann mir jemand sagen, wozu das ganze UDP-Geraffel sowie port 9293/tcp dienen soll?
Ich habe beim Regelsatz von ccu-protect, der das obige ja nicht enthält, keine Probleme festgestellt (nutze die
CCU3 allerdings auch erst seit ein paar Tagen).


Weitere Frage: Es gibt eine ganze Reihe von Diskussionen oder Anleitungen in Netz, bei denen nachträglich
ergänzte iptables-Regeln für die CCUx eine Rolle spielen.
Für mich unerklärlicherweise habe ich aber bislang nirgendwo einen Hinweis wie "Achtung, die WebUI-FW zerschießt euch ggf. wieder den Regelsatz" gefunden.
Greift die "Firewall" ggf. erst seit kurzem auf iptables zurück? (ich setze Firmware 3.47.10 ein)


Danke und Gruß,
mf

[blackhole]

Damit sind die durch ccu-protect angelegten Regeln weg ...

Ja, das ist völlig korrekt - und vice versa. Du kannst es Feature oder Seiteneffekt nennen. Für mich ist es ein (völlig ungenutztes) Feature.
Das "Vice versa" ist für mich eindeutig wichtiger. ¯\_(ツ)_/¯

Dass CCU-Protect eine Rückmeldung bekommt, falls die CCU-eigene "Firewall" aktiviert wird, könnte man theoretisch noch einbauen. Andererseits sollte ein CCU-Admin, der bewusst CCU-Protect einzetzt, genau wissen was er da treibt. In der Regel weiß er auch ganz genau, warum er CCU-Protect einsetzt und eben nicht das mitgelieferte Geraffel.

Mir gefällt das Regelwerk der CCU übrigens auch nicht (egal ob alt -ohne iptables- oder neu -mit iptables). Das ist der Grund warum ich CCU-Protect für mich erstellt habe.

Richtig ist auch, dass der Einsatz von iptables seitens der CCU-Firmware, rückblickend und historisch gesehen, noch relativ jung ist. CCU-Protect gibt es bereits deutlich länger.

Das Update auf CCU-Protect v3.01 habe ich dir eben per PN geschickt.

[blackhole]

Je nach Interesse an diese optimierte Version werde ich diese zu einem späteren Zeitpunkt parallel zu CCU-Protect v2.92 zum direkten Download als Update mit entsprechender Anleitung anbieten.

Das ist soeben passiert.

Weitere Infos und Hinweise sind hier und hier zu finden.

[blackhole]

Update: "CCU-Protect aktivieren/deaktivieren" auf den aktuellen Stand gebracht.

[blackhole]

Update: Anleitung aktualisiert.

[blackhole]

CCU-Protect ist ab sofort auf Anfrage per PN kostenlos erhältlich.

[Chris83]

Hallo
bin neu hier. Wie kann ich denn PNs schreiben? @blackhole kannst du mir das CCU-Protect schicken? Habe mich extra dafür angemeldet.

VG
Chris

[blackhole]

Wie kann ich denn PNs schreiben?

Versuch's jetzt noch einmal. ¯\_(ツ)_/¯

[Chris83]

Hallo und vielen Dank!
Nach der super Anleitung von Erhard Simdorn hat es auf meiner CCU3 mit v3.01 auf Anhieb funktioniert. Endlich ist die XML-API nur noch von meinem Smartphone u. PC erreichbar. Cool ist auch die verzögerte Aktivierung nach Neustart um 5 min.
Wichtig: Die MAC eines eventuell vorhandenen Lan-Gateways nicht vergessen! Ansonsten ist man erst einmal überrascht wieso fast nichts mehr geht.