Das ist ist auf dem VPS (Server)
pasted-from-clipboard.png
Und hier auf dem Client (unRaid PostUp und PostDown sind von unraid erstellt)
Ports auf vServer geschlossen
- c7h12
- Erledigt
-
Mach die Keys auf jeden Fall nochmal neu.
-
Mach die Keys auf jeden Fall nochmal neu.
Warum? Es funktioniert doch, ich komme halt nur nicht mehr die iptables regeln von KosMos hinzufüge (mit den Anpassungen für mich natürlich), Wenn ich die Regeln alle rausschmeiße und alles öffne, geht es wieder...
Alles anzeigenDein Server ist ungesichert am Netz.
Als Mindestschutz sollte man schon die input und forward policy auf deny stellen und dann nur das Nötigste öffnen.
Dann hat man wenigstens einen Schutz ähnlich der eines heimischen Routers.
Ich habe das gleiche im Einsatz d.H. eine wireguard Verbindung zwischen Fritzbox und vserver. Die konfigs kann ich dir heute Abend irgendwann zur Verfügung stellen.
Edit:
Im Anhang befindet sich eine iptables Konfiguration und eine funktionierende Wireguard-Konfiguration. Du musst nur dein eigenes Keymaterial einfügen.
Die Skripte, Files sind entsprechend kommentiert. Die Verbindungen werden zum VPS aufgebaut, da dieser 24h läuft und eine feste ipv4 besitzt.
Schau mal, ob du damit etwas anfangen kannst.
-
Meine Firewall-Konfiguration funktioniert bei dir nicht, weil ich den Wireguard Port 52601 verwende, du aber 51820 konfiguriert hast. Die nötigen Änderungen sind fett markiert. Danach wird es wieder funktionieren
Willst du die Internetverbindung vom VPS für deine Clients verwenden?
-o eth0 bei deiner Serverkonfiguration muss noch angepasst werden. Auf dem VPS heißen die meist ens... irgendwas.
# Zunächst alle alten Regeln löschen
iptables -F
iptables -t nat -F
iptables -t mangle -F
ip6tables -F
ip6tables -t nat -F
ip6tables -t mangle -F
# Setzen des Standardverhaltens der Firewall
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP
# Wurde eine Verbindung Akzeptiert, werden alle nachfolgenden Verbindungen die in Zusammenhang mit dieser stehen ebenfalls erlaubt
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Wireguard
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 51820 -j ACCEPT
# Wireguard Netz ipv4 alles erlauben.
iptables -A INPUT -m state --state NEW -i wg0 -d 10.8.0.0/24 -j ACCEPT
# Alle SSH Verbindungen auf Port 22
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# ipv6 icmp Regeln
ip6tables -A INPUT -p icmpv6 -j ACCEPT
# Speichern der Konfiguration
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
-
-
Das iptables Skript bezieht sich nur auf den Server. Was der Client bzw. unraid da für Regeln setzt unter postUp weiß ich nicht, aber es scheint ja so zu funktionieren.
Die unraid Kiste scheint auch hinter einem nat Router zu stehen. Dann hat man zumindest hier auch einen Basisschutz.
