Posts by Patrick0815

Falsch abgebogen!

Hab die API selbst noch nie aktiv genutzt aber was passiert wenn du „deleterecord auf true“ setzt?

Meinem Verständnis der Doku nach sollte dies die passende Option dafür sein:

DomainWebservice interface description

Konnte nun endlich testen, Danke für den Input perryflynn

Ich hatte noch einen Fehler in der Forward Rule, hier war noch ein drop hinterlegt so dass ich über den Tunnel nicht ins Internet gekommen bin.

Quote from perryflynn

So ists auf meinem Router:

Code

table ip global {
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                ip saddr { 172.23.24.0/23 } oifname "wlp5s0" masquerade
        }
}

Teste ich, wird allerdings ein paar Tage dauern (Geschäftsreise).

Guter Punkt, zumindest ist das Verhalten des Wireguard Clients auch bei ausgeschaltetem Server identisch.

Da bin ich wohl falsch abgebogen.

Hat noch jemand einen heißen Tipp wie ich diesen UFW Konstrukt auf nftables umstellen kann?

*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from wireguard client to ens3
-A POSTROUTING -s 192.168.200.0/24 -o ens3 -j MASQUERADE
COMMIT

Docker läuft auf dem System noch gar nicht.

War bisher auf ufw und wollte die Docker Firewallthematik angehen, bevor ich docker installiere und scheitere nun leider an solchem Kleinkram.

Ich hab nun firewalld rausgeschmissen und bin auf die Basics zurück, pures nftables unter Debian 12.

Allerdings habe ich hier wohl auch noch einen Fehler in der Konfiguration (aus den nftables Examples entnommen).

#!/usr/sbin/nft -f

flush ruleset

table inet firewall {

    chain inbound_ipv4 {
        # accepting ping (icmp-echo-request) for diagnostic purposes.
        # However, it also lets probes discover this host is alive.
        # This sample accepts them within a certain rate limit:
        #
        icmp type echo-request limit rate 5/second accept
    }

    chain inbound_ipv6 {
        # accept neighbour discovery otherwise connectivity breaks
        #
        icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept

        # accepting ping (icmpv6-echo-request) for diagnostic purposes.
        # However, it also lets probes discover this host is alive.
        # This sample accepts them within a certain rate limit:
        #
        icmpv6 type echo-request limit rate 5/second accept
    }

    chain inbound {
        # By default, drop all traffic unless it meets a filter
        # criteria specified by the rules that follow below.
        type filter hook input priority 0; policy drop;

        # Allow traffic from established and related packets, drop invalid
        ct state vmap { established : accept, related : accept, invalid : drop }

        # Allow loopback traffic.
        iifname lo accept

        # Jump to chain according to layer 3 protocol using a verdict map
        meta protocol vmap { ip : jump inbound_ipv4, ip6 : jump inbound_ipv6 }

        # Allow SSH on port TCP/22 and allow HTTP(S) TCP/80 and TCP/443
        # for IPv4 and IPv6.
        tcp dport { 22, 80, 443} accept

        # Uncomment to enable logging of denied inbound traffic
        # log prefix "[nftables] Inbound Denied: " counter drop
    }

    chain forward {
        # Drop everything (assumes this device is not a router)
        type filter hook forward priority 0; policy drop;
    }

    # no need to define output chain, default policy is accept if undefined.
}

Die Konfiguration wird erfolgreich geladen

nft list table inet firewall
table inet firewall {
    chain inbound_ipv4 {
        icmp type echo-request limit rate 5/second accept
    }

    chain inbound_ipv6 {
        icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
        icmpv6 type echo-request limit rate 5/second accept
    }

    chain inbound {
        type filter hook input priority filter; policy drop;
        ct state vmap { invalid : drop, established : accept, related : accept }
        iifname "lo" accept
        meta protocol vmap { ip : jump inbound_ipv4, ip6 : jump inbound_ipv6 }
        tcp dport { 22, 80, 443 } accept
    }

    chain forward {
        type filter hook forward priority filter; policy drop;
    }
}

Allerdings habe ich noch das Problem, dass eine Verbindung auf 51820/UDP nicht abgelehnt wird.

Die Policy für inbound ist drop, daher verstehe ich nicht warum die Verbindung trotzdem erlaubt wird.

Magst du ev. mal die DNS Einstellungen aus dem CCP z.B. als Screenshot teilen?

Ziehe zurück und kann bestätigen

Non-authoritative answer:
Name:    vanillamc.de
Address: 37.221.95.172

Ist der Cache auf dem Router ev. noch nicht aktualisiert worden?

Hallo zusammen,

ich versuche gerade auf einem VPS firewalld als Ersatz für ufw zu installieren/konfigurieren, scheitere aber daran dass Ports obwohl nicht freigegeben offen sind.

Aufgrund der Workarounds die für docker in Verbindung mit der UFW notwendig sind, dacht ich ist es mal Wert eine anderes Frontend für iptables/nftables auszuprobieren.

Ausgangsbasis: Debian 12 (auf einem S***to VPS), firewalld installiert, interface ens6 der Zone public zugewiesen.

sudo firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens6
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

sudo firewall-cmd --get-active-zones
public
  interfaces: ens6

Meine Verständnis der Doku nach sollte alles außer der beiden Services (ssh, dhcpv6-client) auf ens6 (Zone Public) geblockt werden.

Ich hab allerdings noch einen Wireguard Service laufen auf den ich mich über ens6 locker verbinden kann.

Was übersehe ich, bzw, wo habe ich meinen Denkfehler.

Danke und Grüße

Quote from RAD750

Just upload your own image

https://helpcenter.netcup.com/en/wiki/server/scp-media#images-uploaded-by-customer

Cross Post

Im CCP unter Domains in der DNS Sektion, die Nameserver auf eigene Nameserver umstellen und dann dort die geforderten (rechte Spalte deines Screenshots) hinterlegen.

https://helpcenter.netcup.com/de/wiki/domain/dns-einstellungen/

Der username ist dann aber die Datei und kein Ordner.

In lnurlp liegt eine Datei mit dem Usernamen und dem Inhalt der heruntergeladenen JSON Datei.

So löst es dann auch wie gefordert auf.

Welche Rechte und unter welchem User sind die Ordner denn angelegt?

Dann fällt mir noch auf das franky kein Ordner seine darf, sondern die zuvor heruntergeladene JSON Datei.

Netcup Nameserver sind nun hinterlegt.

Leider wird es nun noch ein bisschen dauern, bis die Änderung weltweit durch ist.

dig erfinderinnenpreis.de

; <<>> DiG 9.18.16-1~deb12u1-Debian <<>> erfinderinnenpreis.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59092
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;erfinderinnenpreis.de.         IN      A

;; ANSWER SECTION:
erfinderinnenpreis.de.  21600   IN      A       91.204.46.148

;; Query time: 12 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Sat Sep 02 16:58:30 CEST 2023
;; MSG SIZE  rcvd: 66

Ok, wird wieder ein bisschen dauern.

Sind die Einträge der Zone A, AAAA, MX, etc (aus einem der vorigen Postings, Warum wird seit Tagen die Domain nicht umgezogen ? ) noch vorhanden?

Bei der Denic sind nun die temporären Nameserver gesetzt und werden auch verteilt

https://dnschecker.org/#NS/erfinderinnenpreis.de

Jetzt kann wieder auf die Netcup Nameserver zurückgestellt werden.

Aktuell hat sich noch nichts getan, mal noch ein bisschen warten…

Genau

Weder noch, im Bereich Nameserver (hier auf eigene Nameserver statt Netcup)

https://helpcenter.netcup.com/de/wiki/domain/dns-einstellungen

Hab die Domain mal angelegt.

Versuch du nun mal die Nameserver auf eigene umzustellen:

ns1.desec.io

ns2.desec.org

Dies sollte ein Update bei der Denic auslösen.

Sollte das klappen, kann alles auf die Originaleinstellungen zurück.