Posts by ___

    Zu den täglichen Zwangstrennungen kommen die von mir ausgelösten Trennungen hinzu. Dass die DSL-Synchronisierung verloren geht, kommt nicht oft vor, aber wenn die Dt. Telekom bastelt, dann gibt es mehrere Verbindungsabbrüche in wenigen Stunden; am 22.12.2016 waren es innerhalb von vier Stunden 25 Unterbrechungen.


    @03simon10: Logbuch als Textdatei + grep

    Bei meinem VPS 20 G7 sind 99,8 % des Traffics ARP-Requests.

    netcup Team wrote:

    Dies ist ein völlig normales verhalten. Sie sehen innerhalb des VLans Ihres vServers die ARP Anfragen.


    Dies können Sie jedoch ignorieren.

    Die SCP-Netzwerk-Statistiken sind für mich unbrauchbar.

    Quote

    Sie verfügen zudem über einen kostenlosen Schutz gegen DDoS , deren Kapazität zeitnah auf 1 Tbit/s angeboten wird.

    Soll das "DDoS-Angriffe, dessen (…) angehoben" heißen oder wird der erweiterte Schutz als Option angeboten?

    *grrr* Die Code-Formatierung ist durch die tolle Forumsoftware zerstört worden. (Nur ein formatierter Code pro Beitrag ist erlaubt?!)


    Eine zustandslose Firewall bedeutet mehr Aufwand. Entweder lässt du

    Quote

    # Stateless firewall

    iptables -t raw -I PREROUTING -j NOTRACK

    iptables -t raw -I OUTPUT -j NOTRACK

    ganz weg oder du verfolgst ausnahmsweise Verbindungen über Port 53

    Code
    1. #Stateless firewall, but not for DNS
    2. iptables -t raw -A PREROUTING -p udp -m udp --sport 53 -j ACCEPT
    3. iptables -t raw -A PREROUTING -p tcp -m tcp --sport 53 -j ACCEPT
    4. iptables -t raw -A PREROUTING -j NOTRACK
    5. iptables -t raw -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
    6. iptables -t raw -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
    7. iptables -t raw -A OUTPUT -j NOTRACK

    , dann funktioniert die "-m state"-Regel für die Verbindungen mit externen DNS-Servern.

    Gebe ich damit nicht den Port 53 für alle frei? Also als public DNS? Ziel der Übung war ja gerade, den Zugang zum DNS auf den VPN zu beschränken.

    Na ja, damit nimmt dein Server alle UDP- und TCP-Pakete an, die von Port 53 aus gesendet wurden. Wenn der (gefälschte) Quellport 53 und der Zielport auch 53 ist, dann nimmt der Server auch diese Pakete an. Dann ist dein Server darüber angreifbar. Nicht manipulierte DNS-Anfragen kommen aber nicht von einem Quellport 53.

    Bzw. Verstehe ich den Kommentar mit dem Rumgewusel nicht. Macht es eine großen Unterschied?

    -A hängt eine Regel an die bestehenden Regeln an, während -I (ohne Regelnummer) eine Regel ganz an den Anfang setzt und alle bestehenden Regeln nach hinten verschiebt. So steht bei dir "-m state" am Ende und dennoch ist es die erste Regel. Also benutze bitte entweder nur -A (das ist der Standard, siehe Ausgabe von iptables-save) oder nur -I (die Regeln muss man dann von unten nach oben lesen).

    -m state unterscheide ich, ob die Verbindung neu aufgebaut wird, bereits besteht, etc.... ?

    Bei einer zustandslosen Firewall gibt es keine Verbindungsverfolgung. Durch "-j NOTRACK" besitzen sämtliche Pakete den Zustand UNTRACKED. RTFM

    Würde es nicht reichen Port 53 auf dem tun interface zu erlauben?

    Ja, aber nur, wenn der Server nicht mit externen DNS-Servern kommunizieren muss. Antworten vom externen DNS-Server z. B. 8.8.8.8 werden oben in der ersten Konfiguration durch "iptables -P INPUT DROP" verworfen.

    Bzw. kann ich das nicht für das ganze interface freigeben, also tun0?

    Wie bitte? tun0 ist doch bereits freigegeben.

    Code
    1. # Allow everything from within the VPNiptables -I INPUT -i tun0 -j ACCEPTiptables -I OUTPUT -o tun0 -j ACCEPT

    Du kannst über VPN mit dem Server kommunizieren. Dein Problem ist, dass der Server nicht mit externen DNS-Servern kommunizieren kann.


    Was für eine Konfiguration macht auf nem VPS sinn?

    Eine zustandslose Firewall bedeutet mehr Aufwand. Entweder lässt du

    Code
    1. # Stateless firewalliptables -t raw -I PREROUTING -j NOTRACKiptables -t raw -I OUTPUT -j NOTRACK

    ganz weg oder du verfolgst ausnahmsweise Verbindungen über Port 53

    Code
    1. #Stateless firewall, but not for DNSiptables -t raw -A PREROUTING -p udp -m udp --sport 53 -j ACCEPTiptables -t raw -A PREROUTING -p tcp -m tcp --sport 53 -j ACCEPTiptables -t raw -A PREROUTING -j NOTRACKiptables -t raw -A OUTPUT -p udp -m udp --dport 53 -j ACCEPTiptables -t raw -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPTiptables -t raw -A OUTPUT -j NOTRACK

    , dann funktioniert die "-m state"-Regel für die Verbindungen mit externen DNS-Servern.


    Wenn du aus welchen Gründen auch immer auf eine zustandslose Firewall (-j NOTRACK) bestehst, kannst du die Verbindungen mit externen DNS-Servern etwas umständlich mit "-m recent" verfolgen.

    Bitte bringe die Regeln in die richtige Reihenfolge ("iptables -nvL"). Das Gewusel mit -A und -I ist unübersichtlich.


    Solltest du eine zustandslose Firewall einsetzen wollen, dann entferne bitte die Regel mit -m state. Connection Tracking (-m state) ohne Connection Tracking (NOTRACK) funktioniert nicht.


    Quote

    ich bekomme bei OpenVPN kein DNS Lookup


    Du musst die eingehenden DNS-Pakete auch annehmen.

    Code
    1. #Allow inbound DNS replies
    2. iptables -A INPUT -p udp --sport 53 -j ACCEPT
    3. iptables -A INPUT -p tcp --sport 53 -j ACCEPT

    Es funktionieren getrennte E-Mail-Catch-Alls. Auf Subdomains selbst können keine E-Mail-Adressen angelegt werden. Was genau ist mit einem Sonderkündigungsrecht gemeint? Wenn wir unsere SLA nicht einhalten?

    Für mich fällt dann leider der Hauptgrund für das Webhostingpaket, E-Mail-Catch-Alls auf Subdomains, weg. Vor Bestellung des Webhostingpakets hatte ich mich extra schlau gemacht, ob die Verwaltungssoftware Confixx das beherrscht. Wegen des Wegfalls einer für mich wichtigen Produkteigenschaft (Confixx als Verwaltungssoftware) würde ich dann gern kündigen, allerdings nur, wenn ich die bereits gezahlten Gebühren für die Restlaufzeit erstattet bekomme.


    Und nein, für jede Bewerbung eine neue E-Mail-Adresse einzurichten wäre zu viel Aufwand. Außerdem muss ich manchmal spontan während eines Telefon- oder persönlichen Gesprächs eine E-Mail-Adresse nennen. Sammelkonten kommen dafür nicht in Betracht, weil ich die Antworten den jeweiligen Bewerbungen ohne langwierige Recherche zuordnen will (Bewerbung geht zu Firma A und die Absage darauf kommt von Firma B) und individuelle E-Mail-Adressen bisher sehr erfolgreich Spam verhindert haben (0 Spams).

    Logischerweise erfordert dies einen Vertrag zur Auftragsverarbeitung mit netcup, da im Falle von Webhosting/vServer/Rootserver personenbezogene Daten bei netcup verarbeitet werden.

    Wenn ich meinen Server kündige sollte, können dennoch Pakete an dessen IP-Adresse geschickt werden und Verbindungsversuche erfolgen. Also erhält Netcup die IP-Adresse des Angreifers bzw. Aufrufers auch ohne mich und ohne Vertrag.


    @Alle Datenverarbeitungsauftraggeber:

    Auch Telefonnummern und Postanschriften sind personenbezogene Daten. Habt ihr auch Verträge mit euren Telekommunikationsanbietern und allen Postunternehmen?

    Für mich kommt das Datenvolumen wie gerufen. Ich will das OS auf meinem Storageserver tauschen, dafür muss einmal alles runter und danach wieder drauf :D

    Storage, vServer (VPS) und Root-Server sind unterschiedliche Produkte. Andererseits steht in der CCP-Produktkategorie Root-Server auch mein VPS 20 G7.

    Ungedrosselt oder gedrosselt? :/


    https://www.netcup.de/bestellen/produkt.php?produkt=1983 wrote:

    Zum heiligen Abend 2017 schenken wir allen bestehenden Kundinnen und Kunden und allen die noch Kundin oder Kunde werden möchten die doppelte Menge an ungedrosselten Traffic bei unseren Root-Server-Produkten.

    https://www.netcup.de/bestellen/produkt.php?produkt=1983 wrote:

    Heute schenken wir allen bestehenden Kundinnen und Kunden und allen die noch Kundin oder Kunden werden möchten die doppelte Menge an gedrosselten Traffic bei unseren Root-Server Produkten.

    Was sind denn

    https://www.netcup.de/bestellen/produkt.php?produkt=1981 wrote:

    Promokationen

    ?


    https://www.google.de/search?q=Promokationen wrote:

    Ergebnisse für Provokationen

    Schade, dass der KVM-Wirt solche Pakete durchreicht. Ich DROPpe die Pakete einfach.

    Code
    1. # www entfernen und ssl erzwingen
    2. RewriteCond %{HTTP_HOST} ^www\.(.+) [OR]
    3. RewriteCond %{HTTPS} off
    4. RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

    Dein Kode leitet den Browser von "www." immer und immer wieder auf "www." weiter. Ich würde die www-Entfernung und die Umleitung auf https trennen und außerdem auf das [L]-Flag weitgehend verzichten.