Beiträge von geekmonkey

Hey Leute, ich hatte gestern schon mal bzgl. DNS und iptables gefragt, dabei ging es aber nur um das droppen des Input. Wollte nun aber mal testweise den Server ganz dicht machen, also auch den Output kontrollieren. Config sihet derzeit so aus:

Server läuft, zusätzliche Dienste laufen, VPN läuft, Pi-Hole läuft. Aber egal, ob ich Pi-Hole als DNS intern nutze, oder z.B. den google DNS, ... ich bekomme bei OpenVPN kein DNS Lookup

Droppe ich hingegen nur den Input für den Port 53 und greife per VPN darauf zu,

iptables -A
INPUT -p udp --dport 53 -j DROP
iptables -A
INPUT -p tcp --dport 53 -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED
-j ACCEPT

... funktioniert alles ohne Probleme. Scheint also irgendwo am gedropten Output zu liegen. Wäre für jede Idee oder Anregung dankbar!

Zitat von oliver.d

Hi, als Basic Firewall Regeln nutze ich die hier

Externer Inhalt gist.github.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Alle externen Inhalte anzeigen

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Spoiler anzeigen

Nur als Tipp

Thx Oliver, werde mich da mal durchwühlen.

Theoretisch muss ich den OUTPUT nicht droppen, oder irre ich? Ich mein ist ja eh nur das, was rausgeht vom Server. Oder macht es Sinn den Output per iptables auch zu spezifizieren? Ist halt etwas nervig, gerade wenn mehr auf dem System läuft.

Ich habe aber noch eine Frage bzgl. des OUTPUT, wenn ich den ganz droppe, läuft fast nichts mehr, selbst wenn ich den für das tun Interface freigebe

Wie genau sind die Freigaben hierbei zu wählen?

Würde mich über ne Antwort freuen!

Zitat von CmdrXay

Weil es mich nicht einschlafen ließ... 10.8.0.0/24 ist doch richtig.

Sagte ich ja. Haha.

Aber hier die Lösung, mit der zumindest ich jetzt sehr gut schlafen kann.

Zumindest was den zugriff nur via vpn angeht.

iptables -I INPUT -i tun0 -j ACCEPT

iptables -A INPUT -i tun0 -p tcp --destination-port 53 -j ACCEPT
iptables -A INPUT -i tun0 -p udp --destination-port 53 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT

in diesem Sinne. Gute Nacht!

Zitat von CmdrXay

Hay,

Ist ein bißchen spät, kann sein, dass ich selbst einen Denkfehler mache

Das VPN / tun-Interface hat doch eine eigene IP-Adresse bzw. ein Netzwerk, je nachdem wie Du das konfiguriert hast (beide Seiten vom VPN!). Das musst Du für die Regel nehmen - localhost macht zwar nichts kaputt, aber auch nicht fürs VPN erreichbar.

CU, Peter

Alles anzeigen

Hey, danke für die schnelle Antwort!

Habs auch schon mit der VPN IP versucht, 10.8.0.0, ... leider ohne Erfolg ?

Bzw Hab ich irgend einen Denkfehler beim Freigeben nur für den VPN?

iptables -A INPUT -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 53 -j DROP

iptables -A INPUT -p udp --dport 53 -s 127.0.0.1 -j
ACCEPT
iptables -A INPUT -p tcp --dport 53 -s 127.0.0.1 -j
ACCEPT

Hey Leute,

hab vor nen paar Tagen ne vorsorgliche, weitergeleitete Nachricht von abuse@netcup bekommen, ... wegen eines public DNS Servers. Auf einem meiner vServer läuft dnsmasq bzw. Pihole. Ich nutze den DNS nur für meinen privaten Rechner, bzw. für den VPN auf der gleichen IP.

So nun meine Frage, hat wer nen paar Tipps, wie man den DNS Server gut absichert? Oder evtl. nur für den VPN den Port 53 freigibt und alle anderen IPs blockiert. Je nach Setting läuft hier garnix mehr.

Hatte den Server zwischenzeitlich ganz dicht und nur die Hand voll Ports die benötigt werden geöffnet, ... aber mit mäßigem Erfolg:

iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp --dport 22448 -j
ACCEPT # ssh
iptables -A INPUT -p tcp --dport 21 -j
ACCEPT # ftp
iptables -A INPUT -p tcp --dport 8887 -j
ACCEPT # znc
iptables -A INPUT -p tcp --dport 21212 -j
ACCEPT # znc_web
iptables -A INPUT -p tcp --dport 80 -j
ACCEPT # http
iptables -A INPUT -p tcp --dport 443 -j
ACCEPT # https
iptables -A OUTPUT -p udp --dport 53 -j
ACCEPT # dns
iptables -A OUTPUT -p tcp --dport 53 -j
ACCEPT # dns
iptables -A INPUT -p tcp \! --syn -j ACCEPT
iptables -A OUTPUT -p tcp \! --syn -j
ACCEPT
iptables -A INPUT -p udp --sport 53 -j
ACCEPT # dns responses
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT # icmp routing messages
ipset create throttled-ips hash:ip timeout
600 family inet maxelem 100000
iptables -t raw -A PREROUTING -p udp -m set
--match-set throttled-ips src -j DROP
iptables -N LARGE_DNS_PACKET_TRACKING #
Create the destination chain
iptables -A OUTPUT -p udp --sport 53 -m
length --length 700:0xffff -j LARGE_DNS_PACKET_TRACKING
iptables -A LARGE_DNS_PACKET_TRACKING -m
hashlimit --hashlimit-mode dstip --hashlimit-dstmask 32 --hashlimit-upto
50kb/min --hashlimit-burst 10 --hashlimit-name large-dns-packets
--hashlimit-htable-max 100000 -j ACCEPT
iptables -A LARGE_DNS_PACKET_TRACKING -j
SET --add-set throttled-ips dstip --timeout 600 --exist
iptables -A LARGE_DNS_PACKET_TRACKING -j
LOG --log-prefix "DNS-amplification protection: "
iptables -A LARGE_DNS_PACKET_TRACKING -j
DROP

Bin für alle Vorschläge offen. Danke

von mir gibts auch nen dickes +1!

Hab hier bei netcup aktuell 20 Domains glaube ich, nutze aber nur eine domain für mails, eben, weil mir eine derartige Funktion fehlt.

Zum Vergleich, bei Hosteurope hab ich gerade einmal 2 domains und nen mail server laufen, arbeite aber mit ca. 200 Alias für 5 Accounts.

Kann mir kaum Vorstellen, dass da die Nachfrage nach so gering ist. War für mich eigentlich immer Standard.

Zitat von SilSte

Um wieviel werden die Server denn teurer werden?

45€ je m^2 ?

Infos dieser Art wirst du wohl von keinem marktorientierten Unternehmen jemals bekommen.

Wobei Felix Hinweis, dass die Preise angezogen werden, bzw. aus welchen Gründen, schon echt für die Transparenz des Unternehmens spricht.

Nein, würde er nicht. Es geht hierbei ja um kleine eigenstandige Systeme. Klar kann ich nen RS splitten in viele kleine Systeme, ... dann habe ich aber den Administrationsaufwand, bzw. wenn der RS crasht sind alle Systeme offline, ...

Zitat von Ryker

Yeapp. Zu 100%. Auch zu empfehlen ist http://seidseit.de/

Kann mich in beiden Fällen nur anschließen. Hab nen RS 1000 SSD G7SE NY18, läuft seit Juli letzten Jahres ohne Probleme. Nutze aber auch mehrere vServer bei Netcup, DigitalOcean und Linode zum testen, bevor auf dem root irgendwelche Änderungen live gehen.

Aktuell reicht die Hardware für mich mehr als aus, außer LEMP + Redis + Node.js läuft da eh nicht viel drauf.

Wäre, wie an anderer Stelle erwähnt, eh viel mehr an kleinen, günstigeren vServern interessiert, da reichen mir auch 5GB SSD mehr als aus, bzw. 1vCore und 1GB RAM.

Interessant wären auch mietbare shells, wie früher, vor 18 Jahren oder so, bevor die vServer boomten.

Die Datenbank ist 2,5GB groß? Enthält nur Pfadangaben und die eigentlichen Bilder belegen 5GB?

Klingt irgenwie nicht gerade sauber gecoded ?

Zitat von mainziman

ich würde Dir den RS 2000 G7 mit SAS-Platte empfehlen;

die SAS-Platten sind nicht sooo langsam;

und 480 GByte reichen doch eine Weile;

vlt. könnt ich meinen "Oster-Frustkauf" loswerden ...

Osterfrustkauf kannst los werden, kost dich aber 25€ extra, also eher weniger lukrativ.

Zitat von Cictani

Was willst Du denn genau mit dem Server machen?

Es kann sogar gut sein, dass manche Dinge dann schwerer unter Windows sind, weil es weniger Tutorials dazu gibt, oder man gewisse Sachen erst umständlich compiliern muss (genau umgedreht zum Treiberchaos, das man oft mit Desktoplinux hat ).

Wenn Du wirklich Windows auf dem Server einsetzen willst, dann verwende ein Serverbetriebssystem und kein Desktop OS wie Windows 10.

Eigentlich ist Linux nicht mal so schwer, wenn man nicht den Anspruch hat, sofort alles begreifen zu wollen, was da so abläuft, zu beliebten Distributionen wie Ubuntu gibt es unzählige Anleitungen zu allen möglichen Sachen.

Es gibt auch für Linux diverse grafische Konfigurationstools, z. B. Webmin (wobei ich nicht weiß, ob das noch aktuell ist, verwende ich seit Jahre nicht mehr ).

Alles anzeigen

Kann man so unterschreiben, gerade Ubuntu bzw. Debian sind auf Grund der klaren Struktur, gut dokumentierten Paket Manager und unzähliger Tutorials wirklich anfängerfreundlich.

Google spuckt eigentlich zu allen gängigen Topics wirklich gute Ergebnisse aus - wobei Kenntnisse in der englischen Sprache von Vorteil sind.

Basics zum Absichern und Einrichten von einem Webserver hatte ich mal auf meinem blog, bzw. sogar vor einigen Tagen mal wieder geupdatet.

https://geekmonkey.de/der-perfekte-server/

Wenn ich mal wieder Zeit habe, folgen überarbeitete HowTos für Wordpress, Nextcloud etc.

Bin aber gerade irgendwie aber auf dem oldschool Trip und spiele mit bouncern und eggdrops rum ?

Bzw. wäre es wirklich toll mal zu erfahren, was du vor hast.

Zitat von perryflynn

Doch, ist er. Man kann sehr fein Einstellen was läuft und was nicht und per Default ist die Firewall sehr restriktiv eingestellt.

Bin zwar auch kein Fan von Windows Servern, aber Firewall und Settings sind schon sehr anfängerfreundlich. Wobei nen Linux System in den meisten Fällen auch für Anfänger wesentlich leichter zu administrieren ist, wenn man mal die Scheu vor Linux verliert.

Windows 10 hingegen ist echt mal ne Ansage. Ich lach mich schlapp, wenn er direkt nen gecracktes Windows 10 Image aufspielt ?

Zitat von kartman11

Was heißt ich stehe dafür grade?

D.h. du haftest für alle Schäden, die durch deinen nicht abgesicherten Server entstehen.

Das können, wie oben bereits angemerkt eben Geldstrafen, Schadensersatzansprüche bis hin zu Haftstrafen sein, ... je nachdem, was die Leute quasi in deinem Namen mit dem Server anstellen.

Was viele vergessen, ein Server ist kein Spielzeug, ...

Zitat von kartman11

Bin leider neu in Sachen Servern (Linux und co.) Deswegen will ich Windows verwenden ist das einfachste

Sorry, aber tu dir selbst nen Gefallen und teste, wie andere bereits auch schon erwähnt haben, daheim auf ner VM, oder installier dir nen fertiges Linux Image von netcup mit nem passenden webinterface.

Ich weiß ja nicht, was du mit der Kiste vor hast, aber am Ende haftest du persönlich für allen Schaden, der davon ausgeht.

Um es mal überspitzt zu sagen, stehst du für alles grade, von Spammails, über DDos Atacks bis hin zu Kinderpornos, die über deinen Server verteilt werden, ...

Mal ne ganz andere Frage, hab aus Spaß mal wieder nen paar bouncer aufgesetzt. Lese öfters dass manche kunden sich hier im irc rumtreiben, auf welchem server in welchem chan?

Hab gewohnheitsmäßig mal im qnet und efnet vorbeigeschaut, ... mein Q und S sind weg ? 16 Jahre idlen war den wohl zu lang ??

so, da ich eh zum Runtersetzen meiner TTL Zeit den Support kontaktiert habe, hab ich direkt mal bzgl vps gefragt.

Aktuell sind keine kleinen Tarife wie die vps10 -100 geplant

Hab aus Spaß auch mal gefragt, Umschreiben lohnt nicht bei kleinen Tarifen. Kost jeweils 25€, damit sind 1 oder 2€ Specials auch nicht mehr so lukrativ ??

Zitat von 03simon10

mainziman Ach, so weit war ich dann gar nicht. Hätte ja sein können, dass du in der reg. Übersicht gesucht hast.

Hat jemand ne Idee, wie ich es einem Script auf die Schnelle beibringe, in seinem Stammpfad einen Ordner nach dem anderen (ohne Angabe aller Ordnernamen) aufruft und dort alle Dateinamen wiefolgt ändert:

YYYY-MM-DD_HH-MM-SS_ORDNERNAME.txt

Den Timestamp würde ich noch extrahiert und umgewandelt kriegen, nur ist es mir ein Rätsel, wie ich es automatisiert schaffe, dass ein Ordner und eine Datei nach der anderen abgearbeitet wird...

Alles anzeigen

Reden wir über bash? Ordnernamen kannst mit "ls" in einer Variable speichern
Und dann würde ichs mit ner while/loop machen

change_dir=???
now=$(date +%Y-%d-%m)
all_dir=$(cd $change_dir && ls)

for dir in $all_dir
    do
       mv $change_dir/dir $change_dir/$(dir).$now
    done

Oder so ähnlich

Zitat von Tolive

Naja, netcup möchte und muss ja auch was verdienen. Bei einem Paket mit 20 inklusiv Domains und 250 GB Speicher ... für unter 5 Euro ist die Marge sehr gering. Entsprechend ist die Leistung auch nicht so gut, wie bei z.B. dem Webhosting 2000 Paket. Wo sicherlich weniger Kunden sich einen Server teilen und auch NodeJS und co. angeboten werden. Könnten die Domains nun frei verteilt werden, wäre es natürlich lukrativ einen Vertrag mit 20 Domains nur wegen der Domains zu buchen und einem besseren Paket, wie etwa dem 2000 oder noch höher, zuzuweisen.

Soweit ich weiß gilt diese Beschränkung deshalb auch nur für die günstigen Aktionstarife.

Node.js gibts erst ab Webhosting 4000

Domains kannst du frei zuteilen, die sind nicht wirklich Paket gebunden, es geht lediglich um die Abrechnung. Kannst jederzeit einem anderen Webhostingpaket bzw. per DNS einem anderen Server zuweisen

Edit: Nachdem was Felix nun schreibt bin ich verwirrt Hatte es zumindest so verstanden, dass Inklusivdomains eben nur so abgerechnet werden, aber sonst frei nutzbar sind.