Liebe Leute,
sorry, ich finde leider nicht die Firewall für den vServer im SCP?
Im Wiki steht dass es dort zu finden sei?
Viele Grüße,
Stephan
Liebe Leute,
sorry, ich finde leider nicht die Firewall für den vServer im SCP?
Im Wiki steht dass es dort zu finden sei?
Viele Grüße,
Stephan
Es gibt im SCP keine Firewall. Du kannst aber natürlich bei deinem Server eine Firewall einrichten (bei Linux Iptables).
Hallo!
Ich habe im Wiki nur diesen Artikel gefunden:
https://www.netcup-wiki.de/wiki/Firewall_des_netcup_VCP
Dieser scheint veraltet zu sein. Ich kenne im neuen SCP keine derartige Funktion.
Verwende doch einfach "iptables" um deinen Server abzusichern.
Mit freundlichen Grüßen
Ich glaube die Firewall bezieht/bezog sich auf Server der alten Modelle (Neptun oder wie der hieß)
Die Firewall im VCP war nötig, um den Netzwerkzugriff der alten Linux-vServer zu beschränken, da man auf diesen kein iptables verwenden konnte. Aber die wurden vor Jahren durch die aktuellen KVM-Server ersetzt, weshalb eine externe Firewall nicht mehr notwendig ist und auch nicht mehr angeboten wird.
D.h. ich kann reguläre IP Tables auf meinem vServer nutzen (KVM).
Das wäre großartig
Ja kannst du
Ja kannst du
Cool,
gibt's eine Empfehlung zur Konfiguration (Basis)?
Viele Grüße,
Stephan
klar, man iptables ;-))))))))))
Eine gutes Basis-Script gab es mal von RayMD. Ist zu finden unter ray-works.de im Bereich Portfolio / Reiter Scripte.
Danke RHA, werde mir das Script mal ansehen dass du mir empfohlen hast.
Ich habe mal das folgende iptables/ip6tables aufgesetzt auf die Schnelle:
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT # BOOTPS
sudo iptables -A INPUT -p tcp --dport 68 -j ACCEPT # DHCLIENT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
sudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT # COURIERTCPD
sudo iptables -A INPUT -p tcp --dport 143 -j ACCEPT # COURIERTCPDS
sudo iptables -A INPUT -p tcp --dport 465 -j ACCEPT # IMAP
sudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT # Submission
sudo iptables -A INPUT -p tcp --dport 953 -j ACCEPT # NAMED
sudo iptables -A INPUT -p tcp --dport 993 -j ACCEPT # IMAPS
sudo iptables -A INPUT -p tcp --dport 995 -j ACCEPT # POP3S
sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT # MYSQL
sudo iptables -A INPUT -p tcp --dport 40268 -j ACCEPT # DHCLIENT
sudo iptables -A INPUT -p tcp --dport 64642 -j ACCEPT # DHCLIENT
sudo iptables -A INPUT -p icmp -j ACCEPT # ICMP (Ping, Traceroute)
sudo iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
sudo iptables -A INPUT -j DROP
sudo iptables -A FORWARD -j REJECT
sudo iptables -A OUTPUT -j ACCEPT
Sieht das so schon einigermaßen aus?
Ich könnte noch den SSH Port umstellen ggfs. auf non-standard?
Viele Grüße,
Stephan
Alles anzeigen
Welche Distribution setzt Du ein?
Ich bin mittlerweile davon abgekommen IPTables manuell mittels Scripts zu konfigurieren, verwende stattdessen das (zumindest bei Debian und Ubuntu) nutzbare Paket uwf (auf Ubuntu ohnehin per Default installiert, auf Debian über die Paketverwaltung nachinstallierbar).
Welche Distribution setzt Du ein?
Hey, ich verwende Debian Wheezy.
Ich würde wenn es geht auf ufw verzichten und
das Script von RayMD eher adaptieren.
Außer natürlich du/ihr ratet davon explizit ab.
Hallo!
Zu deinem IP-Tables Post:
Den SSH-Port ändere ich grundsätzlich immer auf meinen Systemen. Dies ist unter "/etc/ssh/sshd.conf" möglich.
Außerdem empfehle ich "FailtoBan" zu installieren und auf die Anwendung hin zu konfigurieren.
Mit freundlichen Grüßen
Deine IPTables Scripts behandeln nur IPv4, kein IPv6
UFW handled mir die IPv6-Regeln völlig automatisch und synchron dazu mit.
30x sudo iptables aufzurufen ist nicht grade hübsch, man legt sich dazu EIN Script an welches man von einem einzigen sudo iptables laden lässt.
Wo hängst Du das IP-Tables Script ein? Wie überwachst Du, dass die Regeln korrekt appliziert wurden und auch bei Restart von Networking oder der Maschine wieder zur Anwendung kommen? Alles Dinge, die man freilich auch selbst sich überlegen und wunderbar lösen kann, aber man kann freilich auch das Framework das sich andere dafür schon ausgedacht und implementiert haben nutzen -> UFW.
Wenn Du kein UFW verwenden möchtest, dann erfinde zumindest nicht die Lösung neu, sondern mache es so wie die Debian-Leute es empfehlen.
Hey, ich verwende Debian Wheezy.
Nicht ganz passend zum Thema, aber denke mal dein Server ist neu, warum dann Debian Wheezy?
Alles anzeigenDeine IPTables Scripts behandeln nur IPv4, kein IPv6
UFW handled mir die IPv6-Regeln völlig automatisch und synchron dazu mit.
30x sudo iptables aufzurufen ist nicht grade hübsch, man legt sich dazu EIN Script an welches man von einem einzigen sudo iptables laden lässt.
Wo hängst Du das IP-Tables Script ein? Wie überwachst Du, dass die Regeln korrekt appliziert wurden und auch bei Restart von Networking oder der Maschine wieder zur Anwendung kommen? Alles Dinge, die man freilich auch selbst sich überlegen und wunderbar lösen kann, aber man kann freilich auch das Framework das sich andere dafür schon ausgedacht und implementiert haben nutzen -> UFW.
Wenn Du kein UFW verwenden möchtest, dann erfinde zumindest nicht die Lösung neu, sondern mache es so wie die Debian-Leute es empfehlen.
Alles klar,
ja das mit den sudo calls war nur testweise.
Okay, wenn UFW die moderne Lösung ist, dann sehe ich mir das doch mal an,
oder folge dem Debian Link.
Vielen Dank für die Hilfe.
Grüße,
Stephan
Nicht ganz passend zum Thema, aber denke mal dein Server ist neu, warum dann Debian Wheezy?
Hey,
passt schon...
Der Server ist nicht neu... ich hatte zuvor mit Firewall von netcup gearbeitet
(also nehme ich an, dass es kein neuer Server ist)
Hey,
passt schon...
Der Server ist nicht neu... ich hatte zuvor mit Firewall von netcup gearbeitet
(also nehme ich an, dass es kein neuer Server ist)
Das heißt du hast die Firewall im alten VCP benutzt?
Welche Bezeichnung hat dein Server?
Wenn der Server schon so alt ist das im VCP die Firewall Einstellungen waren, denke ich das es noch ein VServer ist und kein KVM damit auch kein IPTables, sondern wie bisher im VCP und nicht im neuen SCP