Hi,
wenn ich einen tightvncserver auf meinem vserver laufen habe kann ich diesen problemlos über meinen SSH-Tunnel erreichen, allerdings ist er auch ohne Benutzung des SSH-Tunnels erreichbar. Wie kriege ich das hin, dass nach außen nur ssh offen ist?
Edit: Mir ist gerade eingefallen, dass es doch im Prinzip funktionieren müsste wenn ich einfach den VNC-Port in der Firewall blocke?
Besser wäre es nur die gewünschten Ports freizugeben und den Rest pauschal zu block. Das ist auch Stand der Technik seit vielen Jahren.
Muss ich hier dann einfach bei destination port "any" eingeben:
[Blockierte Grafik: http://i1179.photobucket.com/albums/x393/blablabla29/Screen.png]
Und was muss ich zuerst hinzufügen? Die "Alles-Verbieten-Regel" oder die "SSH-erlauben-Regel"?
Zuerst alle Allow-Regeln, dann alle Deny-Regeln und fertig. Um alle Ports zu blockieren, reicht es, das entsprechende Feld leer zu lassen.
MfG Christian
Der Witz ist, dass die Regeln der Reihe nach abgearbeitet werden und bei einem Treffer keine weiteren Regeln beachtet werden.
Daher:
a) Vertrauenswürdige Hosts zulassen (statisch, manuell)
b) Streng unerwünschte Hosts blockieren (statisch, manuell)
b) Ports, die immer funktionieren sollen, zulassen (statisch, manuell)
c) Ports, die nie funktionieren sollen, blockieren (statisch, manuell)
d) Durch Limit-Regeln blockierte Ports blockieren (automatisch, manuell)
e) Ports, die normal zugänglich sein sollen, zulassen (statisch, manuell)
f) Durch Scripts freigeschaltete Ports und Hosts zulassen (automatisch, per Script)
g) Durch Scripts (z.B. fail2ban) blockierte Ports und Hosts blockieren (automatisch, per Script)
h) Standard-Policy: Drop (statisch, manuell)So sollte man sich nicht aussperren können und dennoch eine funktionierende Kette erhalten.
Zitat von Artimis;24312
h) Standard-Policy: Drop (statisch, manuell)[/code]So sollte man sich nicht aussperren können und dennoch eine funktionierende Kette erhalten.
Das geht:eek:? Wie kann man das denn ändern die funktion habe ich nie gefunden:confused:
Jaaa, das war jetzt eher der Normalfall, also schön mit iptables.
Aber im VCP geht es auch, wenn auch unellegant: Einfach als letzte Regel alles blockieren.
Dann fügt das Skript(oder gibts ne neue version?) die Regeln aber dahinter ein.
Ja, das ist ein Problem. Es gibt praktisch nur die Entsprechung für den Append-Befehl von ip(6)tables.
Vielleicht sieht das mit dem neuen Webinterface besser aus.
Aber davon ab: Ein Paketfilter ist bei einem sauber konfigurierten System nicht nötig. So gut wie jedem Dienst kann man explizit sagen, auf welche Adressbereiche er lauschen soll. Wenn du jemanden aussperren willst, dann tu es doch damit. Nur in den seltensten Fällen ist es nicht möglich (z.B. VNC), da musst du dann zwangsläufig den Paketfilter nutzen, was aber unschön ist.
Deutsch
