Posts by ___

    Du hast doch oben die "fdisk -l"-Ausgabe geschrieben. Dort steht der Anfangssektor der zweiten Partition und ihr Ende.
    Wann hast du wie die dritte Partition erzeugt?


    Was gibt "fdisk -l" jetzt aus?

    Vergrößere doch einfach die zweite Partition, jetzt allerdings mit Sektoren und ohne Kompatibiltätsmodus.



    Ich komme gerade mit der Anleitung nicht so zu recht. fdisk -l gibt folgendes aus:

    Woher stammt die dritte Partition?
    Bei der anschließenden(?) Neupartitionierung gab fdisk doch nur zwei Partitionen an?

    Code
    1. p primary (2 primary, 0 extended, 2 free)


    fdisk ist kein Spielzeug!

    Inhalt der 502-Seite (gefunden auf https://community.letsencrypt.…n-letsencrypt-client/7084)


    https://letsencrypt.status.io/

    Lass dich bloß nicht verwirren. Ob du state/--state oder conntrack/--ctstate verwendest, ist hier unerheblich. Das Connection-Tracking kannst du in INPUT auch nicht beeinflussen, denn die Pakete durchlaufen bereits vor der INPUT-Kette der Standardtabelle filter das Connection-Tracking (https://upload.wikimedia.org/w…Netfilter-packet-flow.svg); das Connection-Tracking lässt sich nur in der Tabelle raw mit "-j NOTRACK" oder "-j CT --notrack" abschalten.


    Also im Moment sehe ich keinen Fehler in deinen Filterregeln, der einen Zugriff auf Port 21 oder 8080 erlauben würde. In deiner 15. INPUT-Regel steht sogar, dass 8 an Port 21 gerichtete Pakete verworfen wurden!


    Ich würde in INPUT alle ACCEPT-Ziele durch MYACCEPT und DROP durch MYDROP ersetzen und mir nach dem Nmap-Scan syslog ansehen.



    Was mir aufgefallen ist:
    1.) RELATED kann Nebenwirkungen haben. Deshalb steht bei mir

    Code
    1. iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
    2. iptables -A INPUT -p icmp -m icmp --icmp-type 0 -m conntrack --ctstate RELATED -j ACCEPT
    3. iptables -A INPUT -p icmp -m icmp --icmp-type 3 -m conntrack --ctstate RELATED -j ACCEPT
    4. iptables -A INPUT -p icmp -m icmp --icmp-type 11 -m conntrack --ctstate RELATED -j ACCEPT
    5. iptables -A INPUT -p icmp -m icmp --icmp-type 12 -m conntrack --ctstate RELATED -j ACCEPT


    2.) Damit "#Antispoofing" nicht das Connection-Tracking belastet, entsorge ich die Pakete mit zu offensichtlich gefälschtem Absender in der Kette PREROUTING der Tabelle raw.

    Code
    1. iptables -t raw -A PREROUTING -i lo -j ACCEPT
    2. iptables -t raw -A PREROUTING -s 127.0.0.0/8 -j DROP
    3. iptables -t raw -A PREROUTING -s 0.0.0.0/8 -j DROP
    4. iptables -t raw -A PREROUTING -s 10.0.0.0/8 -j DROP
    5. iptables -t raw -A PREROUTING -s 172.16.0.0/12 -j DROP
    6. iptables -t raw -A PREROUTING -s 192.168.0.0/16 -j DROP
    7. iptables -t raw -A PREROUTING -s 224.0.0.0/3 -j DROP


    PREROUTING ist ein geeigneter Ort für die Entsorgung von unerwünschten Paketen. Die Hashtabelle des Connection-Trackings wird entlastet, wodurch die Wahrscheinlichkeit für "table full, dropping packet" sinkt. Vorschlag:

    Code
    1. iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8443 -j ACCEPT
    2. iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 8447 -j ACCEPT
    3. iptables -t raw -A PREROUTING -p tcp -d 188.68.49.x --dport 22 -j ACCEPT
    4. iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 80 -j ACCEPT
    5. iptables -t raw -A PREROUTING -p tcp -d 37.120.183.x --dport 443 -j ACCEPT
    6. iptables -t raw -A PREROUTING -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP


    3.) "eth0:1" ist ein Alias für "eth0". Die drei "-i eth0:1"-Regeln in INPUT sind überflüssig.

    Auf Twitter wird der Nachschub angekündigt.

    http://www.netcup-news.de/2015/11/30/adventskalender-2015/ wrote:

    Tipp: Die Freigabe der Schnäppchen wird auf Twitter bekannt gegeben.


    https://twitter.com/netcup/status/671472239724912640 wrote:

    Die erste Ladung Root-Server Xmas 2015 ist ausverkauft. Nachschub gibt es um 0:45 Uhr.

    Dein Logformat passt nicht zur fail2ban-Konfiguration.

    access.log:

    Code
    1. v2201234567890.yourvserver.net:80 5.45.73.XX …

    Dein fail2ban erwartet die zu sperrende IP-Adresse am Anfang der Logzeile. v2201234567890.yourvserver.net löst leider zu deiner eigenen IP-Adresse auf.

    Ändere doch einfach in /etc/ssh/sshd_config

    Code
    1. Port 22

    in

    Code
    1. Port 25000

    Nach einem Neustart des SSH-Dienstes (service ssh restart) ist Port 25000 offen und Port 22 geschlossen.

    Quote

    To run your own domain-server make sure port 40102 is open and forwarded to the machine running the domain-server.

    Auf deinem Server ist der domain-server installiert. Eine Weiterleitung von deinem Server zu deinem Server wäre seltsam.


    Kann sich der assignment-client mit dem domain-server verbinden?

    Quote

    The assignment-client uses localhost as its assignment-server and talks to it on port 40102 (the default domain-server port).



    Damit wird UDP-Port 40102 nach außen geöffnet:

    Code
    1. iptables -t raw -I PREROUTING -p udp -m udp --dport 40102 -j ACCEPT
    2. iptables -I INPUT -p udp -m udp --dport 40102 -j ACCEPT

    Mit iptables kannst du verhindern, dass das Connection-Tracking Resourcen verbraucht und ICMP-Antworten gesendet werden.

    Code
    1. sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 80 -i eth0 -j DROP #nur Pakete an UDP-Port 80 verwerfen
    Code
    1. sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 0:32767 -i eth0 -j DROP #verwirft Pakete an UDP-Ports bis 32767 (auch DHCP-Pakete an UDP-Port 68)


    Die Pakete verstopfen dennoch die Leitung.

    Die Anleitung im Wiki setzt voraus, dass genau gelesen und mitgedacht wird.

    http://www.netcup-wiki.de/wiki/Partitionierung_KVM-Server wrote:

    Warnung: Prüfen Sie, ob sich die Anleitung für Ihr System anwenden lässt.


    Die Ausgabe von fdisk entspricht nicht der im Wiki. Das hätte dir auffallen müssen. Während im Wiki eine veraltete Version von fdisk benutzt wird, in der in den Sektor- und Nicht-DOS-Kompatibilitätsmodus umgeschaltet werden muss, ist in deinem Rettungssystem eine neuere Version von fdisk vorhanden. Indem du blind [­u] und [­c] eingetippt hast, wurde fdisk verstellt und die Partition falsch angelegt.


    Lass einfach [­u] und [­c] weg, dann klappt es auch mit der Wiki-Anleitung!

    Hier der Output von fdisk -l

    Code
    1. 16 heads, 63 sectors/track, 405699 cylinders, total 408944640 sectors

    fdisk arbeitet bereits im Sektormodus, sonst stünde dort nicht „, total 408944640 sectors“. Mit c und u hast du deine Partitionen im falschen Modus bearbeitet. Oh je.


    Code
    1. Device Boot Start End Blocks Id System
    2. /dev/vda1 2048 2988031 1492992 82 Linux swap / Solaris
    3. /dev/vda2 63 2015 976+ 83 Linux
    4. /dev/vda3 41943040 408944575 183500768 83 Linux

    Damit vda2 maximal groß wird, müssen vda2 und vda3 gelöscht werden.
    fdisk /dev/vda
    delete 3
    delete 2


    Danach kann vda2 neu angelegt werden.
    new primary partition 2
    first sector 2988032
    last sector 408944575

    Wenn ich das richtig verstanden habe müsste ich als ersten Sektor "3905536" und als letzten Sektor "31455231" nehmen. Habe ich das richtig verstanden?

    Nein, denn so groß ist Partition vda2 bereits. Um mehr Speicherplatz auf einer Partition zu bekommen, muss vda2 die bestehende (?!) Partition vda3 fressen.
    Erster Sektor 3905536
    Letzter Sektor 490733503
    (490733503 - 3905536) Sektoren · 512 Bytes/Sektor : 1000000000 Bytes/GB = 249 GB