@kuketzblog Ist Snowflake eigentlich ein "Bridge Relay"? 🙂

@kuketzblog Hey Mike, ich habe mir gerade den Snowflake auf meinem Pihole installiert.

Da der Snowflake Proxy damit ja in meinem internen Netzwerk betrieben wird, würde ich gerne noch einen Basis-Schutz vor Software-Schwachstellen im Snowflake-Proxy implementieren und dem Snowflake-Proxy den Zugriff auf mein lokales Netzwerk unterbinden.

@kuketzblog

Meine Idee war, dass ich

1. Den Snowflake Proxy unter einem eigenen Benutzer „snowflake“ (UID 1001) betreibe.

2. Per iptables Regel dem Benutzer den Zugriff auf das lokale Netzwerk unterbinde.

iptables -A OUTPUT -m owner --uid-owner 1001 --destination 192.168.1.0/24 -j DROP
iptables -A OUTPUT -m owner --uid-owner 1001 --destination 127.0.0.1 -j DROP

Für IPv4 funktioniert dieses auch.

Leider weiß ich nicht, wie man IPv6 —destination Regeln schreibt. Hat jemand einen Tipp?

@kuketzblog Ich habe herausgefunden wie ich IPv6 Regeln in iptables schreibe:

# localhost
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination ::1/128 -j DROP
# UniqueLocal Adresses
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination fd00::/64 -j DROP
# Provider Netzwork (gekürzt)
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination 2a00::/64 -j DROP

Damit sollte der „snowflake“ Benutzer keine Zugriffsrechte mehr auf mein lokales Netzwerk haben.

@kuketzblog Ergänzend habe ich noch die folgenden IPv6 Standard-Netzbereiche gefiltert, weiß aber nicht ob das Sinn macht:

# Link Local Unicast
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination fe80::/10 -j DROP
# Unique Local Unicast
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination fc00::/7 -j DROP
# Multicast
ip6tables -A OUTPUT -m owner --uid-owner 1001 --destination ff00::/8 -j DROP

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!