Raspberry Pi Firewall?

Hallo zusammen,

für ein Projekt benötige ich eure Unterstützung:

In meinem LAN (echtes Dual-Stack mit DynDNS) hängt ein Raspberry. Von der FritzBox aus wird dem Raspberry die IP 10.7.7.49/24 zugewiesen. Diese Adresse liegt an eth0 an. Der Raspberry dient aber auch als WLAN Client für andere Geräte. Über hostapd stellt er das Interface wlan0 zur verfügung. Hier gibt es folgende Adressen für die Clients: 10.8.8.0/24. Als AP ist er über die 10.8.8.1 erreichbar.

Für das Projekt ist es nötig, dass ich von extern auf einen Client des Raspberries (10.8.8.10) komme. Dieser stellt einen Webserver auf Port 8080 zur Verfügung. Sprich: Ich möchte mit meiner Domain (http://meine.domain:8080) auf den Port 8080 des Clients kommen.

Das mit der FritzFox, dem DynDNS und dem Reverse Proxy bekomme ich hin. Nur nicht die Weiterleitung von eth0 10.7.7.49:8080 auf wlan0 10.8.8.10:8080. Ich gehe schwer davon aus, dass ich hier an die "iptables" muss.

Kann mir jemand helfen? Welchen Befehl brauche ich hier?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, WLAN, Technik

28.07.2021, 22:47

Läuft auf dem Raspberry ein Webserver? Dann kannst Du dort einen Reverse Proxy aufsetzen, der auf die 10.8.8.10 zeigt. Der Port wäre sogar frei wählbar, Du kannst auch von Port 80 auf 10.8.8.10:8080 zeigen.

Die vHost-Konfiguration eines Apache müsste so aussehen:

<VirtualHost *:80>
    ServerAdmin email@domain.com
    ServerName subdomain.dyndns.com
    ProxyRequests off
    ProxyPass / http://10.8.8.10:8080
    ProxyPassReverse / http://10.8.8.10:8080
CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined
ErrorLog ${APACHE_LOG_DIR}/error.log
</VirtualHost>

Alternativ wäre möglich, in iptables ein NAT zu konfigurieren:

sudo iptables -t nat -A PREROUTING -d 10.7.7.49/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.8.8.10:8080

--dport 80 musst Du Deinen Begebenheiten entsprechend anpassen. Ich habe das jetzt nicht getestet, aber so sollte es funktionieren.

PaulKaulSaul

Fragesteller

29.07.2021, 22:37

Hallo franzhartwig,

genau, es läuft ein Apache2 drauf. Der lauscht schon am Port 80. Den Client habe ich mit 8080 verbunden. Habe mich für die iptables entschieden. Funktioniert prima.

Vielen dank für deine schnelle Hilfe.

Beste Grüße,

Paul

franzhartwig

29.07.2021, 23:08

@PaulKaulSaul

genau, es läuft ein Apache2 drauf. Der lauscht schon am Port 80

Das wäre kein Hindernis, weil die vHosts über den Namen unterschieden werden. Ich habe hier einen Apache laufen, der auf Port 80 und 443 lauscht. Dort laufen knapp 30 vHosts, die teilweise als Reverse Proxy auf andere Server und Docker-Container auf die unterschiedlichsten Ports weiterreichen. Über den Reverse Proxy habe ich den Vorteil, immer über Port 443 zuzugreifen und so keiner Firewall-Regel zum Opfer zu fallen. Außerdem bieten die Server teilweise kein TLS, was durch den Reverse Proxy erledigt wird.

BeamerBen

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

28.07.2021, 22:49

Klingt als möchtest du ein destination NAT.

Könntest auch n Reverse Proxy auf dem Pi selber machen eventuell.

Neuer als iptables wäre nftables, ich finds auch übersichtlicher und einfacher. Iptables Befehle sind oft unübersichtlich, bei nftables hat man relativ verständliche Befehle und Config files. Ich hab damit schon ein paar Sachen gemacht und fand es relativ angenehm.

Es gibt auch Tools die Firewall Regeln vereinfachen sollen wie firewalld oder ferm, aber ausprobiert habe ich das noch nicht.

Wenn du Nftables nutzen möchtest findest du hier infos über NATing:

https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)#Destination_NAT

sudo apt install nftables
sudo nano /etc/nftables.conf # Regeln in dieses File eintragen
systemctl enable --now nftables.service

Beachte aber, dass der letzte Befehl potenziell dazu führen könnte das du dich selber aussperrst wenn du die Firewall Regeln falsch schreibst oder es auch Probleme mit anderen Programmen verursachen könnte.

Nftables und IPtables sind by default übrigens nicht persistent, also wenn du über die commandline Regeln hinzufügst sind die nach einem neustart weg. Das config file und der Systemd service sind dafür um die Regeln immer automatisch zu laden.

Woher ich das weiß:Berufserfahrung – Privat und beruflich damit zu tun

PaulKaulSaul

Fragesteller

29.07.2021, 22:39

Hallo BeamerBen,

danke für deine Unterstützung. Du hast recht, iptables sind nicht wirklich übersichtlich.

Beste Grüße,

Paul

GrakaVII

28.07.2021, 21:25

Reverse Proxy von http://meine.domain:8080 zu 10.8.8.10:8080. Normalerweise eigentlich von http://meine.domain zu 10.8.8.10:8080

Woher ich das weiß:Studium / Ausbildung – Studium in theoretischer Informatik (Master)

PaulKaulSaul

Fragesteller

29.07.2021, 22:40

Hallo GrakaVII,

du hast natürlich absolut recht. So würde man es richtig machen.

Grüße,

Paul

Hallo,

habe einen Raspberry-Pi Webserver fertig aufgesetzt. Ich kann ihn nun im lokalen Netzwerk als Website erreichen. Aber wie kann ich jetzt von außerhalb, d.h. von unterwegs wie eine ganz normale Website erreichen? Ich habe was von einem DynDNS-Server gelesen oder DynDNS-Client auf dem Raspberry?

Port 80 ist bei meinem Router freigeschaltet. Wie geht es jetzt weiter?

...zur Frage

FastAPI Lokalhosten mit TrueNas Scale?

Ich habe ein TrueNas Scale Server und möchte mit FastAPI mein Projekt erstmal lokal hosten.

source mypy/bin/activate
uvicorn api.app.main:app --reload --port 8080

Hiermit hab ich es auf meinem Entwicklungsrechner gestartet, wenn ich dies mit TMUX in der Konsole mache ist aber unter dem Port 8080 nichts erreichbar.
Vielen Dank im Voraus :D

...zur Frage

Was ist der günstigste Raspberry Pi mit dem man eine eigene Cloud einrichten kann?

Hallo,

ich würde mir gern einen eigenen Cloud zuhause einrichten und habe gesehen, dass man mit Raspberries mithilfe von Nextcloud relativ einfach eine eigene Cloud aufbauen kann. Da das Preis-Leistungsverhältnis von Raspberries leider seit einiger zeit stetig sinkt bin ich nun auf der suche nach dem günstigsten Pi mit dem man so ein Projekt auf die Beine bekommen kann. Könnte man das mit einem Rb Pi Pico auch hinbekommen?

Danke!

...zur Frage

Welche Informationen kann ich aus dem OBD Port auslesen?

Guten Tag,

Für ein Projekt möchte ich folgende Fahrzeugparameter wie z.B.:

- Geschwindigkeit

- Aktive Beleuchtung (Blinker, Abblendlicht usw.)

- Motordrehzahl

- Verfügbare Temperaturen

- Verfügbare Spannungen

usw. auslesen.

Wie ist dies am einfachsten umzusetzen? Wäre dies über den OBD Port möglich? (mit selbst gebauter Hardware und Software (Arduino, Raspberry co.))

...zur Frage

VPN und WOL mit Raspberry Pi einrichten - Wie?

Mein Ziel: Ich will mich von überall aus mit dem Router und somit PC verbinden können, sodass ich z.B. Remote-Desktop nutzen kann. Der Raspberry Pi soll als VPN-Server fungieren. Anschließend dann Wake On Lan für den PC ermöglichen (Mainboard unterstützt WOL, ist aktiv).

Aktueller Stand: Ich habe einen Speedport-Router der Telekom. Ich habe bereits DynDNS eingerichtet, sodass ich über eine feste IP den Router erreichen kann. Der Raspberry ist per LAN mit dem Router verbunden und hat eine feste IPv4 Adresse bekommen. Ebenso mein PC.

Jetzt muss ich doch eine Portweiterleitung (UDP) machen, oder? Aber ich hab ab jetzt keine Ahnung mehr. Für mich besteht ein Port nur aus einer Zahl wie z.B: 5313. Aber was muss ich dort jetzt alles eintragen?

Muss ich danach den Port noch irgendwie bei meinem DynDNS Anbieter (noip) konfigurieren?

Und was muss ich beim Raspberry konfigurieren / installieren?

...zur Frage

Nach der Deinstallation von CyberGhost kein Internet mehr ?

Nach Installation eines Cyperghosts clients hab ich mein PC heruntergefahren den heute gestartet. Aber was ist kein Internet :o. Teamspeak geöffnet Fehler --> Teamspeak kann nicht gesttartet werden, weil kein port zu verfügung steht. mit cmd erhalte ich noch pings. Aber sonst kein internet. was kann ich machen?

...zur Frage

dnsmasq-Error auf Raspberry-Pi: failed to bind DHCP server socket: Address already in use?

Als ich in den Letzten Tagen meinen Raspberry-Pi einrichtete, um den Beerenpflücker (Roboterarm) aus ct 02/15 (S. 164) nach langer Bauzeit endlich fertigzustellen, bin ich auf folgendes Problem gestoßen:

Nach der Installation der Pakete hostapd, dnsmasq und avahi-daemon und dem Kopieren der bereitgestellten Konfigurationsdateien (ct.de/ycvg) startete dnsmasq mit folgender Fehlermeldung nicht:

dnsmasq: bad dhcp-range at line 8 of /etc/dnsmasq.conf

Danach habe ich mich auf verschiedenen Foren informiert (auch hier) habe die Konfigurationsdatei unter /etc/dnsmasq.conf auf das Folgende geändert (ohne auskommentierte Zeilen):

interface=wlan0
dhcp-range=wlan0,192.168.2.2,192.168.2.253,255.255.255.0,12h
port=0

Bei hostapd unter /etc/hostapd/hostapd.conf steht nun folgendes:

interface=wlan0
driver=rtl871xdrv
ctrl_interface=/var/run/hostapd
ctrl_interface_group=0
ssid=*Meine SSID*
hw_mode=g
channel=8
country_code=DE
ieee80211d=1
wpa=2
wpa_passphrase=*Meine Passphrase*
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
rsn_pairwise=CCMP
beacon_int=100 
auth_algs=3
ieee80211n=1
wmm_enabled=1
logger_syslog=-1
logger_syslog_levlel=2
logger_stdout=-1
logger_stdout_level=2
dump_file=/temp/hostapd.dumb

Nach den Änderungen passiert folgendes:

pi@raspberrypi ~ $ dnsmasq
dnsmasq: cannot open or create lease file /var/lib/misc/dnsmasq.leases: Permission  denied
pi@raspberrypi ~ $ sudo dnsmasq
dnsmasq: failed to bind DHCP server socket: Address already in use

Was ist mein Fehler? Kennt sich irgendwer aus?

...zur Frage

Warum routet er das falsch via PiHole?

Hallo zusammen

Ich habe heute nach langer Down-Phase mein PiHole und den Raspberry Pi aktualisiert.

Ich habe im PC als DNS 192.168.15.8 - eth0 vom Raspberry Pi und 192.168.15.9 - wlan0 vom Raspberry PI gesetzt, beide IPs sind statisch über die FRITZ!Box vergeben.

Ich möchte auch wenn es das gleiche ist, lieber nur 1 IP, die 8chter nuzen, da ich aber so hoffentlich bessere Chancen habe, dass das PiHole funktioniert habe ich beide eingetragen.

In der Live-Test-Phase werde ich schon dann das via Router regeln.

Ich habe eine Kategorie sehr bekannte Kategorie gesperrt (über die URLs) und habe im lokalen DNS unsere Haus-Interne-Cloud verbunden, dass er nicht über den Hoster geht und wieder von aussen kommt.

Leider macht er bei einer Tracert-Abfrage diese direkt beim Hoster bzw. via Router und die bekannteste Seite aus der Kategorie geht auch zum aufrufen.

Ich möchte es vermeiden, dass das PiHole als letzter DNS vor dem "nach draussen telefonieren" funktioniert.

Leider ist das Stand jetzt nicht der fall.

Hat da jemand eine Idee warum das so nicht geht und er gefühlsmässig die Einstellungen einfach übergeht?

LG calgia

...zur Frage

Subdomain direkt den Port mit schicken?

Hallo,

Ich habe folgendes vor:

Ich habe bei Strato eine Domain und zuhause zwei Server. Einen Mac mini und einen Raspberry pi.

Nun möchte ich dass:

pi.domain.de den port :81 gleich mit nimmt, da der Mac server

Passwort.domain.de bereits den port :80 hat.

auf dem PI läuft bereits ddclient als DYNdns Programm und der Pi ist mit portangabe bereits aus dem internet mit pi.domain.de:81 erreichbar.

Wie schaffe ich es den Port in der Subdomain mit zu übertragen, dass dieser nicht wieder erscheint/erscheinen muss?

Ich habe bereits versucht über SRV-Record an mein ergebiss zu kommen, jedoch ohne erfolg.

Auf dem dem Mac läuft bitwarden als Webserver und auf dem Pi soll ownCloud unter Apache 2 laufen.

Ich bin über jede hilfreiche und nett gemeinte Antwort sehr dankbar und bedanke mich bereits im Voraus.

Beste Grüße

Tim

...zur Frage

DynDNS Port?

Hallo, ich habe vor einen Nextcloud Server in meinem Heimnetz einzurichten. Ich habe einen Anschluss mit DS-Lite, aber mein Anbieter stellt mir ein paar IPv4 Ports zur Verfügung. Was muss ich machen, dass ich, wenn ich meine Domain (von einem DDNS Anbieter), direkt auf den Server verbunden werde. Danke

...zur Frage

No-IP DynDNS geht nicht mehr, und dadurch Minecraft Server nicht mehr erreichbar?

Moin,

ist ein bisschen komplizierter zu beschreiben.

Fangen wir beim Anfang an.

Ich habe auf mir auf meinem neuen Debian 12 Linux Server einen Minecraft Server erstellt.

UDP Port 25565 geöffnet, alles super. Als IP steht in der server.properties die lokale IP meines Servers also "192.168.178.155".

Jetzt hatte ich, die DUC Software (Dynamic Update Client) von NoIP auf einem anderen Gerät (RaspberryPi 4 4Gb) gehostet, sollte eigentlich auch laufen, habe Port 80 geöffnet, funktionierte sonst auch immer so.

Der DynDNS Hostname zielt auf die öffentliche IP meines Routers (ist eine FritzBox 5590 Fiber).

Habe auch im Webinterface (also auf fritz.box) den DynDNS eingestellt, etc. (wie gesagt, ging vor kurzem noch alles).

Habe auch bedacht, das man die kostenlosen Hostnames von NoIP alle 30 Tage bestätigen muss...

Aber WICHTIG: Der DynDNS ist generell nicht erreichbar, nicht nur beim Minecraft Server sondern auch bei meiner VPN Verbindung in mein Heimnetzwerk.

...zur Frage

VLAN Netzwerk einrichten?

Hallo,

ich habe mir einen gebrauchten Router (Lancom) und VLAN fähige Layer-2 Switch (TP-Link) besorgt, weil ich ein bisschen, Homelab mäßig versuchen wollte ein VLAN-Netzwerk aufzubauen. Gedacht ist, dass am Router am Interface ETH-0 ein Trunk Port konfiguriert ist, an diesen ist der Switch angeschlossen mit seinem Port 1 (ebenfalls im Trunk Modus). An Port 1 des Switchs soll ein Client sein (VLAN 1), an Port 2 des Switch ein Server (VLAN 2). Ich habe auf meinem Lancom Router also zwei VLANs erstellt, mit VLAN ID 1 als Default (Clients) und VLAN ID 2 für Server mit folgenden Netzen:

VLAN 1: 172.16.0.0/24
VLAN 2: 10.0.0.0/24

Auf dem Port ETH-0 selbst ist der Tagging Mode auf Trunk und die VLAN-ID auf 1 gesetzt. Im Switch habe ich ein VLAN 2 für Port 2 hinzugefügt (1 ist Default deswegen nicht nötig gewesen). Der Uplink Port am Switch ist auf Trunk gestellt, die anderen Ports auf Access.

Nach allen Einstellungen kann ich die Clients im Default VLAN (1) erreichen, nicht aber den Server, im VLAN 2. Woran kann das liegen? Vielleicht kennt sich ja jemand damit aus und kann mir helfen.

...zur Frage

Port Forwarding aktivieren?

Ich habe einen Raspberry Pi auf dem die Nextcloud läuft. Nun möchte ich diese auch von außen erreichbar machen. Habe Port Forwarding beim Router aktiviert und mir einen Hostname bei No-IP besorgt, die IP ist bei No-IP eingetragen ebenso wie alles im Bereich DynDNS auf dem Router eingetragen ist.

Das Problem ist aber das ich trotzdem nicht von außen auf die Nextcloud zugreifen kann.

Router ist die O2 Homebox.

...zur Frage

Einfache Netzwerkprojekte für Schüler (Raspberry Pi)?

Ich muss im Informatik Kurs ein Netzwerkprojekt machen. Ich habe aber keine Ideen. Im Internet finde ich nur komplizierte Sachen, die ich mit meinem Wissen nicht umsetzen könnte. Es sollte am besten ein Projekt sein, welches man vorher mit dem Cisco Packet Tracer simulieren kann. Ich habe auch einen Raspberry Pi zur Verfügung. Wir haben schon Vlans, Access Points, Switches und DHCP kennengelernt, deshalb wäre es auch gut, diese Sachen mit in dem kleinen Projekt einzubauen ( muss aber nicht). Ein Netzwerkprojekt nur mit dem Raspberry Pi wäre mir lieber. Ich hoffe jemand von euch hat gute Vorschläge, die ein blutiger Anfänger ganz einfach nachmachen kann.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen