Posts by ___

    Ich wünsche Allen noch viel Spannung für das letzte Türchen

    Noch eine Stunde Hochspannung!

    Du hast doch oben die "fdisk -l"-Ausgabe geschrieben. Dort steht der Anfangssektor der zweiten Partition und ihr Ende.
    Wann hast du wie die dritte Partition erzeugt?


    Was gibt "fdisk -l" jetzt aus?

    Vergrößere doch einfach die zweite Partition, jetzt allerdings mit Sektoren und ohne Kompatibiltätsmodus.



    Ich komme gerade mit der Anleitung nicht so zu recht. fdisk -l gibt folgendes aus:

    Woher stammt die dritte Partition?
    Bei der anschließenden(?) Neupartitionierung gab fdisk doch nur zwei Partitionen an?

    Code
    p   primary (2 primary, 0 extended, 2 free)


    fdisk ist kein Spielzeug!

    Inhalt der 502-Seite (gefunden auf https://community.letsencrypt.…n-letsencrypt-client/7084)


    https://letsencrypt.status.io/

    Lass dich bloß nicht verwirren. Ob du state/--state oder conntrack/--ctstate verwendest, ist hier unerheblich. Das Connection-Tracking kannst du in INPUT auch nicht beeinflussen, denn die Pakete durchlaufen bereits vor der INPUT-Kette der Standardtabelle filter das Connection-Tracking (https://upload.wikimedia.org/w…Netfilter-packet-flow.svg); das Connection-Tracking lässt sich nur in der Tabelle raw mit "-j NOTRACK" oder "-j CT --notrack" abschalten.


    Also im Moment sehe ich keinen Fehler in deinen Filterregeln, der einen Zugriff auf Port 21 oder 8080 erlauben würde. In deiner 15. INPUT-Regel steht sogar, dass 8 an Port 21 gerichtete Pakete verworfen wurden!


    Ich würde in INPUT alle ACCEPT-Ziele durch MYACCEPT und DROP durch MYDROP ersetzen und mir nach dem Nmap-Scan syslog ansehen.



    Was mir aufgefallen ist:
    1.) RELATED kann Nebenwirkungen haben. Deshalb steht bei mir

    Code
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
    iptables -A INPUT -p icmp -m icmp --icmp-type 0 -m conntrack --ctstate RELATED -j ACCEPT
    iptables -A INPUT -p icmp -m icmp --icmp-type 3 -m conntrack --ctstate RELATED -j ACCEPT
    iptables -A INPUT -p icmp -m icmp --icmp-type 11 -m conntrack --ctstate RELATED -j ACCEPT
    iptables -A INPUT -p icmp -m icmp --icmp-type 12 -m conntrack --ctstate RELATED -j ACCEPT


    2.) Damit "#Antispoofing" nicht das Connection-Tracking belastet, entsorge ich die Pakete mit zu offensichtlich gefälschtem Absender in der Kette PREROUTING der Tabelle raw.

    Code
    iptables -t raw -A PREROUTING -i lo -j ACCEPT
    iptables -t raw -A PREROUTING -s 127.0.0.0/8 -j DROP
    iptables -t raw -A PREROUTING -s 0.0.0.0/8 -j DROP
    iptables -t raw -A PREROUTING -s 10.0.0.0/8 -j DROP
    iptables -t raw -A PREROUTING -s 172.16.0.0/12 -j DROP
    iptables -t raw -A PREROUTING -s 192.168.0.0/16 -j DROP
    iptables -t raw -A PREROUTING -s 224.0.0.0/3 -j DROP


    PREROUTING ist ein geeigneter Ort für die Entsorgung von unerwünschten Paketen. Die Hashtabelle des Connection-Trackings wird entlastet, wodurch die Wahrscheinlichkeit für "table full, dropping packet" sinkt. Vorschlag:

    Code
    iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8443 -j ACCEPT
    iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8447 -j ACCEPT
    iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 22 -j ACCEPT
    iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 80 -j ACCEPT
    iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 443 -j ACCEPT
    iptables -t raw -A PREROUTING -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP


    3.) "eth0:1" ist ein Alias für "eth0". Die drei "-i eth0:1"-Regeln in INPUT sind überflüssig.

    Auf Twitter wird der Nachschub angekündigt.

    Quote from http://www.netcup-news.de/2015/11/30/adventskalender-2015/

    Tipp: Die Freigabe der Schnäppchen wird auf Twitter bekannt gegeben.


    Quote from https://twitter.com/netcup/status/671472239724912640

    Die erste Ladung Root-Server Xmas 2015 ist ausverkauft. Nachschub gibt es um 0:45 Uhr.

    Ändere doch einfach in /etc/ssh/sshd_config

    Code
    Port 22

    in

    Code
    Port 25000

    Nach einem Neustart des SSH-Dienstes (service ssh restart) ist Port 25000 offen und Port 22 geschlossen.

    Quote

    To run your own domain-server make sure port 40102 is open and forwarded to the machine running the domain-server.

    Auf deinem Server ist der domain-server installiert. Eine Weiterleitung von deinem Server zu deinem Server wäre seltsam.


    Kann sich der assignment-client mit dem domain-server verbinden?

    Quote

    The assignment-client uses localhost as its assignment-server and talks to it on port 40102 (the default domain-server port).



    Damit wird UDP-Port 40102 nach außen geöffnet:

    Code
    iptables -t raw -I PREROUTING -p udp -m udp --dport 40102 -j ACCEPT
    iptables -I INPUT -p udp -m udp --dport 40102 -j ACCEPT

    Mit iptables kannst du verhindern, dass das Connection-Tracking Resourcen verbraucht und ICMP-Antworten gesendet werden.

    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 80 -i eth0 -j DROP #nur Pakete an UDP-Port 80 verwerfen
    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 0:32767 -i eth0 -j DROP #verwirft Pakete an UDP-Ports bis 32767 (auch DHCP-Pakete an UDP-Port 68)


    Die Pakete verstopfen dennoch die Leitung.