[Eisfair_dev] [E64] Problem mit brute_force_blocking 1.0.21

Olaf Jaehrling eisfair at ojaehrling.de
Mi Jan 27 19:16:50 CET 2021 

Hallo Sascha,


Sascha Pohl schrieb am 27.01.21 um 00:08:
> Hallo Olaf,
> 
> 
>> Das muss ich nochmal eruieren. Leider habe ich kein System mehr mit
>> iptables, da iptables ja in naher Zukunft durch nftables abgelöst wird.
> 
> Das war mir leider nicht bekannt.

Naja, auch bei eisfair findet der Wechsel schleichend statt. Schleichend
deshalb, weil kaum von jemanden bemerkt. Wenn man bei der aktuelle
Version des Paketes
iptables-save
eingibt, bekommt man schon eine Warnung, dass sich da was ändert. So
wird es auch bei den anderen Destris gehandhabt. Debian z.b. liefert
iptables in der nächsten Version schon garnicht mehr mit aus.
<Zitat aus [1]>
"Für Debian 10 Buster, angekündigt für Juli 2019, ist der Long Term
Support bis zum Jahr 2024 festgelegt. Bleibt es beim aktuellen Trend der
zweijährigen Releases, erscheint 2021 Debian 11 Bullseye ohne die
symbolischen Links. Für Linux-Firewall-Experten beginnt nun eine
zweijährige Umstellungsphase zum moderneren Nachfolger."
</Zitat aus [1]>

> Ich habe gerade, nach viiielen Jahren meinen Eis mal komplett neu
> aufgesetzt (von alt E1 auf Hardware, auf neu E64 als VM in Proxmox).
> Dabei wollte ich eigentlich alles mal aktuell und auch
> zukunftsorientiert angehen.
> In den Paketabhängigkeiten auf dem Eis lese ich, dass iptables als
> Abhängigkeit nur brute_force_blocking auflistet.

Ja, BFB listet iptables oder nftables als Abhängigkeit. Du musst im
setup nur sagen, was du davon installiert hast
Wenn bei dir nur BFB iptables nutzt, kannst du BFB stoppen, das
iptables-paket deinstallieren, nftables installieren und dann im setup
BFB_USE_IPTABLES_NFTABLES='nftables'
auswählen, Danach sollte BFB mit nftables funktionieren.

> Würdest du mir dazu raten auf nftables umzustellen?

Ja

> Falls ja, wie mache ich das?

Ein kurzes HowTo findest du unter [2]
Meine kleine Befehlssammlung findest du unter [3]
Eine komplette Anleitung findest du unter [4]

Meine allerdings ohne Kommentare, aber eigentlich ist das
selbsterklärend wenn man sich damit mal beschäftigt hat

> 
>> Ich muss mir also in einer VM erstmal ein EIS mit iptables aufsetzen.
> 
> Vielleicht kannst du dir die Mühe ja sparen. Siehe oben.

Naja, den Fehler würde ich trotzdem gern finden :)

> 

> Von Problemen mit Symlinks habe ich schon gehört, ja.
> Aber diese Alternative war mir bisher gar nicht bekannt.
> Ich habe in einem neuen Post auf spline.fli4l.geschnatter gerade mal
> eine Frage an alle Experten gerichtet, was sie zu meiner speziellen
> Konfiguration raten.

Ich schreibe dazu auch noch was. :)
> 
> 
> Eine Sache noch, die ich in meinem ersten Post vergessen habe, die aber
> vermutlich auch mit dem anfangs geschilderten Problem zusammenhängt:
> Ich bekomme jedesmal, wenn brute_force_blocking das web-log löscht
> (BFB_WEBSERVER_LOGFILE_CLEAR=) eine Email von fcron mit dem Betreff:
> fcron <root at eis> /etc/init.d/brute_force_blocking unblock >/dev/null 2>&1
> und dem Inhalt:
> Job '/etc/init.d/brute_force_blocking unblock >/dev/null 2>&1'
> terminated (exit status: 1) (mailing output)

Ich vermute auch, dass es ein Folgefehler ist.
gib doch mal auf der Kommandozeile den Befehl
/etc/init.d/brute_force_blocking unblock
ein.

Gruß

Olaf
> 

[1]
https://www.computerweekly.com/de/ratgeber/nftables-versus-iptables-Das-muessen-Linux-Admins-beachten
[2] https://www.kuketz-blog.de/howto-wechsel-von-iptables-zu-nftables/
[3] https://ojaehrling.de/nft.html
[4] https://wiki.nftables.org/wiki-nftables/index.php/Main_Page

-- 
Paketserver: https://ojaehrling.de/eis/index.txt

Mehr Informationen über die Mailingliste Eisfair_dev