====== Firewall ====== Auf den Gateways sind Regeln vorhanden für * NAT: Für ExitVPN * redis (sofern Teil des Redis-Clusters * fail2ban **Zugriff auf Firmware-Updates über Firewall-Regeln steuern** * Nur speziell zugelassene Knoten dürfen updaten * Alle anderen Zugriffe werden protokolliert und blockiert * Ob eine Regel gezogen hat erkennt man am Paketzähler der Regel, die Zuordnung zum Knoten wird über den Kommentar erleichtert ip6tables -N firmware-update ip6tables -A firmware-update -s -p tcp --dport 80 -m comment --comment "Knotenname" -j ACCEPT ip6tables -A firmware-update -j LOG --log-prefix "Update blocked: " ip6tables -A firmware-update -j REJECT ip6tables -I INPUT -p tcp --dport 80 -j firmware-update