CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

[blackhole]

Anfrage für den Downloadlink von CCU-Protect

Du hast Post bekommen.

[scav]

Ich hab jetzt CCU-Protect auf meiner CCU2 getestet und an sich läuft alles normal, hab aber bemerkt, daß meine Handy-App zwar alle Schalter betätigen, aber etliche Programme nicht mehr ausführen kann.

Wenn ich jetzt bei den CCU2 Control Panell Firewall-Einstellungen im der Web-UI die beiden Einstellung auf "Full-access" und dann wieder auf "restricted" setze, kann ich wieder alle Programme von meiner Handy-App aus starten.

Wie ist dies zu erklären? Verstelle ich die CCU-Protect Firewall wenn ich die Homematic Firewalleinstellungen ändere oder ist dies ein Bug?
Oder soll ich einfach die HM Firewalleinstellungen auf "Full-access" lassen und mich komplet auf CCU-Protect verlassen...?

[blackhole]

Wie ist dies zu erklären?

Mithihilfe der von dir gemachten Angaben, kann ich deine Frage nicht vollständig beantworten.
Einzig erklärbar ist, dass die WebUI-Firewall bei Reaktivierung das Regelwerk von CCU-Protect überschreibt: Das ist so.
Vergleiche jeweils die Status-Ausgaben in der Shell mittels der Option -s bzw. --status, wie in der Anleitung beschrieben.

Ich hab jetzt CCU-Protect auf meiner CCU2 getestet

Grundsätzlich ist es so, dass ich seit 2018 keine CCU2 mehr in Betrieb habe. Darum steht auch überall, dass CCU-Protect für die CCU3 konzipiert ist. Ob alles, was in der Anleitung beschrieben ist, auch auf einer CCU2 funktioniert, kann und möchte ich nun wirklich nicht mehr verfizieren.

[scav]

Grundsätzlich ist es so, dass ich seit 2018 keine CCU2 mehr in Betrieb habe. Darum steht auch überall, dass CCU-Protect für die CCU3 konzipiert ist. Ob alles, was in der Anleitung beschrieben ist, auch auf einer CCU2 funktioniert, kann und möchte ich nun wirklich nicht mehr verfizieren.

Ist schon klar, das ich quasi nur Beta-tester bin Möchte auch demnächst auf eine CCU3 umsteigen.

Die Rules werden wirklich mit Änderung des Web- Firewall UI überschrieben.

Hab auch den Status-output von der Version 2.91 die ich bis jetzt benutzt hatte, mit der 4.71 verglichen. Alles gleich bis auf die letzte Zeile:

Code: Alles auswählen

 pkts bytes target     prot opt in     out     source               destination       
     1    76 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Erlaubt diese Zeile nicht wiederum den Zugriff für jedermann auf die CCU?

[blackhole]

Erlaubt diese Zeile nicht wiederum den Zugriff für jedermann auf die CCU?

Das gilt nur für Verbindungen mit dem State "RELATED,ESTABLISHED" (aka SPI aka Stateful Packet Inspection):

Code: Alles auswählen

ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

In einfachen Worten: Wenn die CCU3 Daten (irgendwo) anfordert, dürfen die Antwortpakete passieren - ansonsten eben nicht.

Mach bei aktiviertem CCU-Protect ganz einfach die Gegenprobe (z.B. Zugriffsversuch auf die CCU-WebUI) mit einem Client, der nicht in der .conf eingetragen ist. Je nach Konfiguration ist optional lediglich ICMP ("Ping") und das sichere SSH erlaubt.

Siehe hierzu auch die entsprechende Erklärung in der Anleitung.

[MisterT]

Hallo blackhole,

für meine RaspberryMatic, welche auf einem Pi4 betrieben wird, benötige ich bitte auch einmal das Script.
Vielen Dank.

Liebe Grüße,
MisterT

[blackhole]

Hallo blackhole ...

Du hast Post bekommen.