Univention Bugzilla – Bug 25632
Firewall does not allow filtering on source address
Last modified: 2023-01-04 09:49:25 CET
Beim Spezifizieren einer Firewall-Regel ueber UCR ist mir aufgefallen, dass es es nur moeglich ist einen Destination-Filter anzulegen. D.h. die Firewall filtert durchgehenden Datenverkehr nach der Zieladresse. Beispiel: security/packetfilter/package/zarafa-gateway/tcp/237/172.16.235.5=ACCEPT Der Datenverkehr zur IP-Adresse 172.16.235.5 wird mit der Regel zugelasen. In dem Fall moechte ich aber den Host schuetzen, auf dem ich die Regel definiert habe. D.h. ich moechte nur Zugriff von einem bestimmten anderen Host (172.16.235.5) zulassen. Mit unserer aktuellen Firewall-Implementierung scheint es nicht moeglich zu sein diese Anforderung umzusetzen.
Requested again via feedback: Ticket #2015121621000452
Running a latest UCS 4.1-2, the UCR variable still creates a destination-rule, not a source-rule. I have the exakt same scenario as Jan Christoph in note 1, that I want to protect a system. My suggestion is that either the iptables command "-d" is changed to "-s", or that the UCR variables are extended to specifiy if a source or destination is given.
Wie auf dem Summit-Barcamp angesprochen zeigt sich das Problem u.a. auch hier: https://help.univention.com/t/firewall-ucr-registry-will-not-accept-ipv4-address-in-rule/ Man geht vermutlich im Regelfall davon aus, dass die setzbare IP die Quelle ist und nicht das Ziel.
This is still the case in UCS 4.4.
*** Bug 52129 has been marked as a duplicate of this bug. ***
Because of this missing feature I had to deactivate the package filter rules and add my own rules in 50_local.sh, on my personal UCS systems that have a public IP address.
Bug #25632 is another example where an user assumed that the specified address is a *sourcce* address and not a destination address, which only seems to be useful if the host has multiple IP addresses. This makes it mostly useless for any server except either for blocking IPv4 or IPv6.
The UCRV descriptions re-direct to <https://docs.software-univention.de/developer-reference-5.0.html#misc:nacl>, which only talks about "address" but also does not specify, if it is the *source* or *destination* address.