🔒 Schritt 9: Optional – Firewall (ufw) Minimal-Konfiguration

Headless, Heimnetz, kein Portforwarding!

1. Installation und Dienst aktivieren

sudo pacman -S --needed ufw
sudo systemctl enable ufw
sudo systemctl start ufw

---

2. Standardregeln setzen

Blockiere alle eingehenden und erlaube alle ausgehenden Verbindungen:

sudo ufw default deny incoming
sudo ufw default allow outgoing

---

3. SSH nur aus dem Heimnetz erlauben

sudo ufw allow from 192.168.0.0/16 to any port 22 proto tcp

---

4. ioBroker, Pi-hole und andere lokale Web-UIs im LAN erlauben

sudo ufw allow from 192.168.0.0/16

---

5. Firewall aktivieren

sudo ufw enable

---

6. Firewall-Status prüfen

sudo ufw status verbose

---

7. Nummerierte Regelübersicht anzeigen

sudo ufw status numbered

---

💡 Hinweis:
Diese Minimal-Konfiguration blockt alle externen Zugriffe,
erlaubt aber uneingeschränkten Verkehr innerhalb des Heimnetzes (192.168.0.0/16).
Ideal für Headless-Systeme ohne Portfreigaben nach außen.

---

Beispielausgabe

[alarm@eos-arm ~]$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    192.168.0.0/16
Anywhere                   ALLOW IN    192.168.0.0/16

[alarm@eos-arm ~]$ sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    192.168.0.0/16
[ 2] Anywhere                   ALLOW IN    192.168.0.0/16