Auf den Gateways sind Regeln vorhanden für

• NAT: Für ExitVPN
• redis (sofern Teil des Redis-Clusters
• fail2ban

Zugriff auf Firmware-Updates über Firewall-Regeln steuern

• Nur speziell zugelassene Knoten dürfen updaten
• Alle anderen Zugriffe werden protokolliert und blockiert
• Ob eine Regel gezogen hat erkennt man am Paketzähler der Regel, die Zuordnung zum Knoten wird über den Kommentar erleichtert

ip6tables -N firmware-update
ip6tables -A firmware-update -s <IPv6 vom Knoten -p tcp --dport 80 -m comment --comment "Knotenname" -j ACCEPT
ip6tables -A firmware-update -j LOG --log-prefix "Update blocked: "
ip6tables -A firmware-update -j REJECT