Server nur von eigener (dynamischer) IP zugänglich machen.

  • Moin Zusammen,


    evtl. hat einer von Euch ja den richtigen Tipp für mich ..

    und zwar möchte ich meinen root Server so absichern, dass dieser nur von meiner (dynamischen) IP aus erreichbar ist, alle anderen sollen durch die Firewall geblockt werden.

    Die Firewall einrichten ist nicht das Problem, eher meine IP Adresse, welche nicht fest vergeben ist.

    Meine Fritzbox und somit die zugehörige IP könnte ich über myFritzbox identifizieren, nur wie sag ich es der Firewall?


    Gruß und frohe Weihnachten..

    Sven

  • Hallo, du könntest einen DynDNS Dienst nutzen und diese Adresse in der Firewall (iptables?) eintragen. Das sollte dein Problem lösen.


    EDIT:

    Wenn du verschiedene Dienste mit deiner IP-Adresse nutzen willst, und nicht nur beispielsweise SSH, dann würde ich sogar dazu tendieren einen VPN-Dienst auf deinem Server einzurichten und dich damit zu verbinden. Dann könntest du die einzelnen Dienste in der Firewall ausschließlich für das vergebene private Subnetz freigeben. Der Vorteil dabei: Du öffnest nur einen Port nach außen, nämlich den für die VPN-Verbindung und nicht für jeden Dienst den jeweiligen Port. Und den kannst du dann natürlich in der Firewall auch wieder an deine DynDNS-Adresse binden.


    Frohe Weihnachten!

  • Evtl. SSH nur über IPv6 erreichbar machen, ich hatte bisher keinen einzigen Login-Versuch auf der IPv6 ;)


    Oder mit Strongswan einen VPN Tunnel zur Fritzbox.

    Für OpenVPN braucht man "modfs" oder freetz auf der Box ... oder eben ein anderes Gerät mit OpenVPN (RasPi, NAS)

  • Hay,

    Hallo, du könntest einen DynDNS Dienst nutzen und diese Adresse in der Firewall (iptables?) eintragen. Das sollte dein Problem lösen.

    das wird dieses spezielle Problem NICHT lösen, da iptables nur IP-Adressen verwaltet. Man kann zwar auch einen Domainnamen angeben, wenn man die Regel einträgt, aber dann wird nichts anderes gemacht als ein spontaner DNS-Lookup und die erhaltene IP-Adresse (des Moments) fix eingetragen.


    OpenVPN fühlt sich hier in der Tat als die Lösung der Wahl an.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,


    Danke für die Richtigstellung, wieder was gelernt

    Gerne.


    [OT]

    [/OT]


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Moin,


    ein paar Tage nicht online und ein paar Beiträge mehr hier ;)

    Also .. ich habe es nun wie folgt gelöst, hat mich zwar viele Stunden gekostet, da mich openvpn und iptables geärgert hat, aber nun läuft alles so, wie ich es möchte :)


    Vom Aufbau her schaut es wie folgt aus:


    Netcup - Server ist VPN Client, dort mit iptables alles für tun0 freigegeben, ens3 lässt nur port 53 und 1194 durch.

    Ich habe im Netz noch ein Script gefunden, welches nun die ip von meine myfritz-Adresse abfragt und bei Änderung die 1194er Regel löscht und mit neuer IP hinzufügt.


    Auf einem Pi3 habe ich Zuhause einen openvpn Server aufgesetzt, welcher per Port Forwarding erreichbar ist.


    Gruß aus dem hohen Norden

    Sven

  • Mhh, das mit dem Verlagern verstehe ich gerade nicht .. ich wollte im Grund den Server nach aussen hin absichern und nur von meinem Netzwerk aus zugänglich machen. Dies wurde nun entsprechend umgesetzt und funktioniert wie gewollt.

    Anstatt die Server mir ins Haus zu stellen, habe ich diese im gesicherten RZ stehen ;)


    Aufgrund der Anzahl an Views, scheine ich aber auch nicht der einzige zu sein, der diesen Weg wählt ..


    Gruß

    Sven