====== Firewall ======

Auf den Gateways sind Regeln vorhanden für
  * NAT: Für ExitVPN
  * redis (sofern Teil des Redis-Clusters
  * fail2ban

**Zugriff auf Firmware-Updates über Firewall-Regeln steuern**

  * Nur speziell zugelassene Knoten dürfen updaten
  * Alle anderen Zugriffe werden protokolliert und blockiert
  * Ob eine Regel gezogen hat erkennt man am Paketzähler der Regel, die Zuordnung zum Knoten wird über den Kommentar erleichtert

<code>
ip6tables -N firmware-update
ip6tables -A firmware-update -s <IPv6 vom Knoten> -p tcp --dport 80 -m comment --comment "Knotenname" -j ACCEPT
ip6tables -A firmware-update -j LOG --log-prefix "Update blocked: "
ip6tables -A firmware-update -j REJECT

ip6tables -I INPUT -p tcp --dport 80 -j firmware-update
</code>