CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

Problemlösungen und Hinweise von allgemeinem Interesse zur Haussteuerung mit HomeMatic

Moderator: Co-Administratoren

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 07.01.2022, 20:59

CCU-Protect blockt jegliche Kommunikation zur CCU (inkl. XML-API, erweiteter Script-Parser etc.) von Geräten aus privaten Netzwerken, die nicht ausdrücklich zugelassen sind. CCU-Protect schützt somit auch vor "gesprächigen" und "querschießenden" Geräten im LAN (Broadcasts, Bursts, DoS, Kids etc.pp.).

Eine generelle Zugriffsmöglichkeit via SSH (Konsolenzugriff) ist per Default als Schutz vor dem eigenen Ausperren aktiviert, kann aber per Konfiguration (s.u.) deaktiviert werden. Gleiches gilt für ICMP (aka "Ping") für eine schnelle Überprüfung der grundsätzlichen Erreichbarkeit im LAN.

Die Kommunikation der CCU nach außen (Senden von Mails, Push-Nachrichten, Download von Firmware-Updates etc.pp.) ist ohne weiteres Zutun gewährleistet.


Die folgende Anleitung ist für das aktuelle Paket CCU-Protect v4.71 gültig.


Installation

Das Paket wird, wie nachfolgend beschrieben, zunächst auf die CCU3 kopiert und erst dort entpackt.
  • Das Paket nicht unter Windows entpacken, hierbei würden die (Linux-)Dateirechte verloren gehen.
  • Die Verwendung des Pfades /usr/local/addons/ccu-protect/ ist im Rahmen dieser Anleitung obligatorisch.
Für den nachfolgenden Punkt 1 kann z.B. WinSCP, für die Punkte 2 und 3 kann z.B. PuTTY verwendet werden.
  1. Das Paket nach /usr/local/addons/ kopieren.
  2. Code: Alles auswählen

    cd /usr/local/addons/
  3. Code: Alles auswählen

    tar xvfz ccu-protect-4.71.tar.gz
Die im Paket beinhalteten Dateien werden auf diesem Weg automatisch nach /usr/local/addons/ccu-protect/ entpackt.


Update von CCU-Protect v4.xx auf CCU-Protect v4.71

Mittels nachfolgend beschriebener Vorgehensweise wird lediglich das mitgelieferte Skript installiert. Die im Installationsverzeichnis vorhandene Konfigurationsdatei (ccu-protect.conf) bleibt unberührt.

Für den nachfolgenden Punkt 1 kann z.B. WinSCP, für die Punkte 2 und 3 kann z.B. PuTTY verwendet werden.
  1. Das Paket nach /usr/local/addons/ kopieren.
  2. Code: Alles auswählen

    cd /usr/local/addons/
  3. Code: Alles auswählen

    tar xvfz ccu-protect-4.71.tar.gz ccu-protect/ccu-protect.sh

Upgrade von CCU-Protect v.2xx und v3.xx auf CCU-Protect v4.xx

Die Übernahme der Konfiguration von alten CCU-Protect-Installationen (v.2xx und v3.xx: firewall.conf) in die neue Konfigurationsdatei (ccu-protect.conf) ist problemlos möglich. Es ist jedoch darauf zu achten, dass die getätigten Einstellungen nun zwingend in einfachen (halben) Anführungszeichen einzufassen sind. Siehe hierzu das Beispiel im nachfolgenden Beitrag (Abschnitt "CCU-Protect Config").

Eventuell vorhandene WebUI-Programme und (HM-)Skripte, welche ältere Versionen von CCU-Protect mittels firewall_enable.sh und firewall_disable.sh aktiviert bzw. deaktiviert haben, müssen gemäß der folgenden Abschnitte "CCU-Protect aktivieren" und "CCU-Protect deaktivieren" entsprechend angepasst werden.

Die aktuelle Version von CCU-Protect (v4.xx) besteht lediglich aus den Dateien ccu-protect.sh und ccu-protect.conf. Nach dem Upgrade können eventuell noch vorhandene Dateien von alten CCU-Protect-Versionen (v.2xx und v3.xx), aus dem Installationsverzeichnis /usr/local/addons/ccu-protect/ entfernt werden.


Konfiguration

Vorbereitend bitte nachfolgende Punkte beachten und erledigen:
  • In der CCU ist eine Systemvariable namens Firewall (Zeichenkette) anzulegen.
  • Geräte, die Zugriff auf die CCU erhalten, sollten eine feste IP-Adresse erhalten (Reservierung per DHCP).
  • Alternativ können (zusätzlich oder ausschließlich) auch die MAC-Adressen der Geräte verwendet werden.
Konfiguration von CCU-Protect:
  • Die Datei /usr/local/addons/ccu-protect/ccu-protect.conf editieren.
  • Die Konfigurationsdatei ist gut kommentiert und sollte somit selbsterklärend sein.
  • Im Zweifelsfall bitte vor der Aktivierung von CCU-Protect hier im Thread nachfragen.

CCU-Protect aktivieren

CCU-Protect wird durch Ausführung des nachfolgenden HM-Skripts aktiviert. Ein zugehöriges WebUI-Programm kann beispielsweise mittels virtuellem Taster oder automatisch nach CCU-Start erfolgen.

Code: Alles auswählen

! CCU-Protect aktivieren
!-----------------------------------------------------------------------------------------------------------------------
system.Exec("/usr/local/addons/ccu-protect/ccu-protect.sh --enable &");
Bei Aktivierung wird die im Vorfeld angelegte Systemvariable Firewall automatisch mit dem Text "CCU-Protect" gefüllt.


CCU-Protect deaktivieren

CCU-Protect wird durch Ausführung des nachfolgenden HM-Skripts deaktiviert, gleichzeitig wird die original CCU-Firewall wieder aktiviert.

Code: Alles auswählen

! CCU-Protect deaktivieren
!-----------------------------------------------------------------------------------------------------------------------
system.Exec("/usr/local/addons/ccu-protect/ccu-protect.sh --disable &");
Bei Deaktivierung wird die im Vorfeld angelegte Systemvariable Firewall automatisch mit dem Text "Original CCU" gefüllt.


Backup

CCU-Protect und dessen Konfiguration sind ohne weiteres Zutun Bestandteil des System-Backups der CCU.


Verteiler

Falls das kostenlos erhältliche Paket für jemanden von Interesse sein sollte, einfach eine PN an mich richten:
  • Bitte in jedem Fall angeben welche Zentrale verwendet wird und welche Firmware-Version installiert ist.
  • Die Antwort-PN bitte innerhalb von 24 Stunden abholen.

Ich hoffe, dass die Leute, die das Thema CCU-Protect angehen möchten, mit den Hinweisen zur Installation und Konfiguration zurechtkommen. Netzwerkkenntnisse und eine bedachte, saubere Konfiguration sind erforderlich. Jegliche Haftung ist ausgeschlossen!
Zuletzt geändert von blackhole am 01.07.2022, 09:29, insgesamt 46-mal geändert.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

CCU-Protect v4.71 (stable) - Addendum

Beitrag von blackhole » 07.01.2022, 21:03

Addendum für CCU-Protect v4.71


CCU-Protect Config

Code: Alles auswählen

###################################################################################################
# CCU-Protect
# Created by blackhole
###################################################################################################

# IP addresses of allowed devices have to be space-separated
AllowedDevicesIP='192.168.178.10 192.168.178.11 192.168.178.12'

# MAC addresses of allowed devices have to be space-separated
AllowedDevicesMAC='aa:bb:cc:dd:ee:ff a1:b2:c3:d4:e5:f6'

# Valid settings are 'yes' and 'no'
AllowPingFromEverywhere='yes'

# Valid settings are 'yes' and 'no'
AllowSSHFromEverywhere='yes'

CCU-Protect in the Shell

Code: Alles auswählen

# /usr/local/addons/ccu-protect/ccu-protect.sh --help

CCU-Protect v4.71 - Created by blackhole
Usage: /usr/local/addons/ccu-protect/ccu-protect.sh [options...]
   -h, --help      : Print this help screen
   -e, --enable    : Enable CCU-Protect firewall (disables original CCU firewall)
   -d, --disable   : Disable CCU-Protect firewall (enables original CCU firewall)
   -n, --norules   : Delete all firewall rules (disables firewall functionality)
   -s, --status    : Show active firewall rules

CCU-Protect Status

Mögliche Zustände der CCU-Systemvariable "Firewall":
  • CCU-Protect (bei Verwendung der Option -e, --enable)
  • Original CCU (bei Verwendung der Option -d, --disable)
  • No rules (bei Verwendung der Option -n, --norules)
Schalten der drei Zustände via Shell:

Code: Alles auswählen

/usr/local/addons/ccu-protect/ccu-protect.sh --enable

Code: Alles auswählen

/usr/local/addons/ccu-protect/ccu-protect.sh --disable

Code: Alles auswählen

/usr/local/addons/ccu-protect/ccu-protect.sh --norules
Anzeigen der aktiven Firewall-Regeln (Netfilter/iptables):

Code: Alles auswählen

/usr/local/addons/ccu-protect/ccu-protect.sh --status
Zuletzt geändert von blackhole am 03.06.2022, 13:00, insgesamt 10-mal geändert.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.68 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 12.01.2022, 07:26

Bebilderte Anleitung

Für v2.xx/v3.xx gab es zusätzlich eine bebilderte Anleitung, verfasst von Erhard Simdorn. Eine aktualisierte Fassung wurde seinerseits bereits angekündigt, steht zurzeit aber noch aus. Der hier vorgesehene Beitrag wird also ggf. zu einem späteren Zeitpunkt noch um einen entsprechenden Link erweitert.
Zuletzt geändert von blackhole am 03.02.2022, 14:54, insgesamt 2-mal geändert.

Mark72
Beiträge: 1
Registriert: 10.01.2022, 22:08
System: CCU
Hat sich bedankt: 2 Mal

Re: CCU-Protect v4.68 (stable) - Alternative firewall for the CCU3

Beitrag von Mark72 » 18.01.2022, 02:51

Hallo, wo bekomme ich bitte eine Kopie von CCU Protect?

Vielen Dank

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.68 (stable) - Alternative firewall for the CCU3

Beitrag von blackhole » 02.02.2022, 07:09

Mark72 hat geschrieben:
18.01.2022, 02:51
Hallo, wo bekomme ich bitte eine Kopie von CCU Protect?

Du hast Post bekommen.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.68 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 08.04.2022, 20:46

Da es bei einem Benutzer beim Upgrade einer älteren Version von CCU-Protect, trotz Verweis auf die mitgelieferte Beispielkonfiguration, Probleme gab, habe ich in der Anleitung im Abschnitt Upgrade die Bezeichnung 'Hochkommata' durch die (tatsächlich korrekte) Bezeichnung 'einfache (halbe) Anführungszeichen' ersetzt.

Ich hoffe, dass somit weitere Irrungen und Wirrungen ausgeschlossen sind.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.69 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 09.04.2022, 20:15

Update: CCU-Protect v4.69

Changelog
  • Der Aufruf von ccu-protect.sh, ohne Angabe von Optionen, führte zu ungewollten Ausgaben. Statt dessen wird nun die Hilfe angezeigt.
  • In der mitgelieferten Beispielkonfigurationsdatei ccu-protect.conf wurden Fehler ausgeräumt.
Kudos
  • Danke an das Mitglied ferdik, der maßgeblich, geduldig und zielführend bei der Fehlersuche geholfen hat.
Verteiler

Das neue Paket wird wie immer automatisch an Benutzer, die an den letzten Updates auch Interesse gezeigt haben (d.h. meine PNs zeitnah abgeholt haben), ohne weitere Nachfrage verteilt. Interessierte Benutzer, die das Paket nicht automatisch erhalten, können das Paket jederzeit, wie in der Anleitung beschrieben, kostenlos anfordern.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 04.06.2022, 21:53

Update: CCU-Protect v4.71

Changelog
  • Zugriff auf die ReGa via Port 8183
Verteiler

Das neue Paket wird wie immer automatisch an Benutzer, die an den letzten Updates auch Interesse gezeigt haben (d.h. meine PNs zeitnah abgeholt haben), ohne weitere Nachfrage verteilt. Interessierte Benutzer, die das Paket nicht automatisch erhalten, können das Paket jederzeit, wie in der Anleitung beschrieben, kostenlos anfordern.

Admiral-Ronald
Beiträge: 5
Registriert: 26.06.2022, 01:27
System: CCU

Re: CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

Beitrag von Admiral-Ronald » 26.06.2022, 01:33

Hallo,

ich bin neu.

Ich möchte meine Version von CCU-Protect gerne auf den neuesten Stand bringen.
Wo bekomme ich die altuelle Version?

Danke im Vorraus.

Benutzeravatar
blackhole
Beiträge: 3394
Registriert: 21.07.2015, 14:03
System: CCU
Hat sich bedankt: 144 Mal
Danksagung erhalten: 471 Mal
Kontaktdaten:

Re: CCU-Protect v4.71 (stable) - Alternative Firewall für die CCU3

Beitrag von blackhole » 01.07.2022, 09:26

Admiral-Ronald hat geschrieben:
26.06.2022, 01:33
Wo bekomme ich die altuelle Version?

Das ist in der Anleitung beschrieben.

Antworten

Zurück zu „HomeMatic Tipps & Tricks - keine Fragen!“