Sinn und Zweck von "Erweiterung" der iptables und ip6tables?

Help Deutschsprachige Hilfe
1

Hallo in die Runde,

da mir das ganze gerade wieder beim Stöbern in diversen Threads aufgefallen ist und diese leider so Unübersichtlich waren... Wollte ich das Thema nun mal in einem extra Thread behandeln.

Zur Info zu meinem System:

  • Pi-Hole läuft fehlerfrei und bisher anscheinend ohne Probleme oder Geschwindigskeitsprobleme.
  • Anschluss ist von Unitymedia daher also DS-Lite (also auch öffentliche IPv6)
  • IPv4 und IPv6 sind Konfiguriert und Pi-Hole dient für beides als DNS Server
  • Werbung bzw. Blocklisten laufen Augenscheinlich auch so wie sie sollten

Ich lese jedoch immer öfters mal das mein seine iptables auf dem Pi-Hole folgender Maße "erweitern" soll:

iptables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp-port-unreachable

ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable

Kann mir bzw. uns allen mal jemand genau Erklären wofür man diese Regeln extra hinzufügen soll? Und/Oder woran man erkennt das es nötig ist diese Regeln einzufügen?
Und/oder wofür sie da sind und was sie bewirken?

Wie gesagt, bei mir läuft Pi-Hole bisher ohne Probleme. Kein Langsamer Seitenaufbau oder dergleichen... Und selbst auf nem iPhone oder verschiedenen Samsung Handys scheint es bisher keine Probleme zu geben.

Daher erschließt sich mir nicht wozu das ganze nötig ist geschweige den wie ich "Fehler" erkenn die darauf Hinweisen das man diese Regeln hinzufügen sollte.

Besten Dank und schönen Sonntag noch.

VG

2

Kann nur für mein System sprechen. Es läuft einwandfrei, auch ohne diese Regeln, welche ich noch nie eingerichtet hatte. Es mag evtl. Umgebungen oder Konfigurationen geben, wo diese Regeln notwendig waren oder sind, aber wenn keine Notwendigkeit besteht, würde ich sie weglassen.
Wenn du keine Probleme feststellen kannst, alles rund läuft, würde ich mir auch keinen Kopf darum machen :wink: Die genannten Firewallregeln sind definitiv nichts, was man zwingend haben muss.

Mein Pi-hole läuft mit dem Standard-Blockingmode BLOCKINGMODE=NULL

3

Die Firewallregeln sind nützlich um ankommende Anfragen auf Port 443 (TCP+UDP) sowie 80 (nur UDP) mit sofortiger Wirkung zurückzuweisen. Das ist auf frisch eingerichteten Raspberry Pis nicht nötig, da hier Ports, die nicht geöffnet sind, automatisch abgewiesen werden.

Es gibt jedoch auch Systeme, die mit voreingestellten Firewalls kommen, die ankommende Anfragen auf diesen Ports nicht zurückweisen sondern einfach still und heimlich ins Leere laufen lassen. Die Konsequenz ist dann, dass der anfragende Browser nicht weiß, dass dort nichts mehr kommt und u.U. noch eine ganze Weile mit dem Seitenaufbau wartet, evtl. sogar noch mehrere Nachfragen hinterher schickt, die natürlich auch alle ohne Rückantwort einfach verworfen werden.

Zusammengefasst: Die Regeln werden nur dann gebraucht, wenn man (meist starke) Verzögerungen beim Seitenaufbau feststellt.