Hallo,
ich habe nun einen Netcup vServer aufgesetzt und bin beim Unbound Container hängen geblieben (läuft nicht).
Nach langer Ursachenforschung habe ich gesehen dass der Zeitdienst auch nicht mehr synchronisiert:
timedatectl: System clock synchronized: no
dieser arbeitet ja bekanntlich über UDP Port 123.
Netcup Firewall komplett deaktiviert -> geht sofort.
Dann an der Netcup Firewall rumgedoktort -> UDP Zeitdienst geht einfach nicht.
Obwohl Ausgehend alles erlaubt ist. Auch explizit Ausgehend UDP 123 klappt nicht.
Das Problem hat wohl hier noch Jemand: siehe
Komischerweise hatte ich mit Wireguard keinerlei Probleme, was ja auch über UDP läuft.
Habe dann die Firewall von Netcup deaktiviert und eine nftables gebaut, erst mal ohne Mailcow Ports in der Input Chain:
table inet early {
chain prerouting {
type filter hook prerouting priority mangle; policy accept;
ct state invalid drop
}
}
table inet firewall {
chain inbound_v4 {
ip protocol icmp icmp type { destination-unreachable, echo-request, time-exceeded, parameter-problem } limit rate 20/second burst 40 packets accept
}
chain inbound_v6 {
ip6 nexthdr ipv6-icmp icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, nd-neighbor-solicit, nd-neighbor-advert } limit rate 20/second burst 40 packets accept
}
chain inbound {
type filter hook input priority filter; policy drop;
ct state established,related accept
iif "lo" accept
meta protocol vmap { ip : jump inbound_v4, ip6 : jump inbound_v6 }
tcp dport 22 ct state new limit rate 5/minute burst 5 packets accept
tcp dport 443 ct state new accept
udp dport 443 ct state new accept
udp dport 58120 ct state new accept
}
}
Danach einen Portscanner angeschmissen, der mir zeigte dass alle Mailcow Ports offen sind, also schnell wieder Netcup Firewall an.
Inzwischen habe ich mich eingelesen und es so verstanden dass die Mailcow iptables Regeln (die in meiner nftables stehen) über die Forward Chain alles relevante an den Docker weiterleiten und von meiner selber gebauten Input Chain nicht berührt werden. Ich dachte im ersten Moment meine Firewall wird igoniert.
Daher die Frage an die Experten:
Ist das so, kann ich Mailcow beruhigt so laufen lassen mit seinen eigenen Docker Regeln ?
Bisher lief sie Zuhause hinter einer FritzBox, das ist etwas anderes, diese blockt keine ausgehenden UDP Verkehr.
