Ich verwende keine Firewall. Ein von vorneherein nicht offener Port stellt auch kein Risiko dar. Bei allen webbasierten Anwendungen lege ich aber auch gar keine Ports heraus, sondern leite sie nur über NginxProxyManager.
Server administrieren - wo fange ich an?
- Bud
- Erledigt
-
-
Ich verwende diesen Ansatz manchmal auch, finde jedoch, das kommt immer auf den Einzelfall an.
Ich habe Server, den eher für Tests und Entwicklung verwendet werden, deren Container sind recht volatil.
Da kann es schonmal vorkommen, dass ein Port versehentlich öffentlich publiziert wird, da finde ich eine Firewall als zusätzlichen Schutz ganz hilfreich.
Andererseits, wenn ein Produktions-Server ohnehin nur 80/443 für einen Reverse-Proxy o.ä. offeriert, sollte eine statisch FW mit eben diesen Ports auch nicht schaden, oder?
-
Und ich suche noch eine gute Monitoring-Software, da CheckMK Raw hier raus ist...
Ich nutze checkmk Cloud.
Da hast du auch die Business Features wie die Agent Backery. Automatisches Ausrollen von Agent Updates an deine Agents - Musst bei neuen Plugins den Agent nicht selbst verteilen.
Der Cloud Agent kann auch Messdaten an den Server Pushen. Vorher ging ja nur Pull.
Edit: Und lässt sich auch Dockerized installieren
Und ist nach der Trial kostenlos mit 750 Services
-
Ich fühle mich gerade so dumm, aber mein WireGuard-Server läuft immer noch nicht.
Warum? Keine Ahnung. Eine Verbindung kann er offensichtlich aufbauen, denn er schreibt in die wg0.conf als Endpoint die IP meines Desktop-Rechners.
Allerdings kann ich – sobald ich mich mit dem Server verbinde – keine Verbindung mehr mit dem Internet aufbauen.Code: Server
Alles anzeigen[Interface] PrivateKey = server_private.key Address = 10.0.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE # Desktop [Peer] PublicKey = desktop_public.key AllowedIPs = 10.0.0.2/32 # Desktop [Peer] PublicKey = iphone_public.key AllowedIPs = 10.0.0.3/32
Code: Desktop[Interface] PrivateKey = desktop_private.key Address = 10.0.0.2/32 DNS = 176.9.93.198, 176.9.1.117 [Peer] PublicKey = server_public.key AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = rs.rubber.ducky.ip:51820
Wie kann ich dem auf die Spur gehen? Funkt da UFW dazwischen?
-
Nimm Tailscale (oder Zerotier) und es funzt einfach.
-
- Ist ip_forward aktiv?
- Können sich beide Peers gegenseitig ping'en?
- Heißt Dein Interface überhaupt eth0?
Ansonsten mal mit tcpdump schauen, was auf wg0/eth0 ankommt und rausgeht. Und die Counter der Firewall ganz links beobachten bzw. die restlichen Regeln ansehen: iptables -nvL (-t nat)
Einfach schrittweise den Weg der Pakete nachverfolgen.
-
Hast Du IP-Forwarding aktiviert? Stimmen die Interfaces? Wenn Du UFW einsetzt, warum konfiguriert du IPTables?
Mein Vorschlag wäre: Erstens ufw deaktivieren und nur die Wireguard-Konfiguration testen bis sie funktioniert. Sobald sie funktioniert auf ufw umschreiben.
Im Client hast du eine Erlaubnis für IPv.6. Das ist aber nirgendswo sonst konfiguriert.
-
Ich bin überzeugt davon, dass es am "Rubber Ducky"-RS liegen muss, wenn die Tipps von KB19 und Loxley nicht weiterhelfen. Einfach einmal alle RS diesen Typs durchtesten und die kaputten danach über die Tauschbörse hier im Forum abstoßen. (Man hilft hier ja, wo man kann! )
Davon abgesehen würde ich in der Serverkonfiguration einmal in Zeile 3 die "/24" löschen (lies: eine einzelne IP einsetzen) und ein "PersistentKeepalive = 25" o. ä. bei den Peers mitaufnehmen.
-
AllowedIPs = 0.0.0.0/0, ::/0
Du leitest die IPv6 Default Route auf VPN, nutzt aber kein IPv6 im Tunnel. Das kann gefährlich sein.
Muss denn wirklich der gesamte Internet-Traffic übers VPN getunnelt werden?