Posts by angeritten

    Vorweg der Hinweis, dass der Support für Debian9 im Juni nächsten Jahres auslaufen wird. Ein Update auf Debian 10 (Buster) wäre bis dahin anzuraten.


    Im Vorfeld entsorge ich pauschal mal Pakete, die ohnehin unbrauchbar oder unmöglich sind (spoofing z.B.) sind und ich tue das nicht in der INPUT, sondern bereits vorher im PREROUTING. Kann ab ein paar Millionen Pakete pro Sekunde schon einen Unterschied machen.

    Damit ist schon ein Haufen Abfall erschlagen.

    Code
    -A INPUT -i lo -j ACCEPT # Erlaube Verbindungen von Localhost
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # Bereits bestehende TCP-Verbindungen müssen nicht weiter untersucht werden
    -A INPUT -s 1.2.3.4/24 -j ACCEPT #Erlaube Adressbereich des Hosting-Anbieters falls dieser automatische Überwachung für Dienste anbietet
    -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 2500/min --limit-burst 5000 -j ACCEPT #für einen kleine Webserver mit wenig traffic erlaube bis zu 5000 neue Verbindungen binnen einer Minute verteilt auf alle Absender und erzwinge bei Überschreitung ein Limit von 2500 Verbindung pro Minute
    
    -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # Erlaube den ganz normalen Ping, kann natürlich auch auf 1/s limitiert werden, aber dann am besten pro Absender
    -A INPUT -j DROP # alles was nicht in eine Regel passt wegwerfen

    Ggf. macht es Sinn wichtige Ports wie SSH gezielt auf einen bestimmten Adressbereich zu "whitelisten" falls es möglich ist. Dann muss sich der Dienst schon mit weniger geskripteten Versuchen da draussen herumschlagen und das Hintergrundrauschen im auth.log wird signifikant reduziert.

    Neben dem Limit für alle Nutzer auf einmal (dieses kann ruhig recht hoch angesetzt werden) kann der Traffic dann noch auf die einzelnen Absender herunter gebrochen werden und dort geprüft ob ein einzelner über die Stränge schlägt:


    Code
    -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j IN_SSH
    -A IN_SSH -m recent --rcheck --seconds 60 --hitcount 15 --rttl --name sshbf --mask 255.255.255.255 --rsource -j DROP
    -A IN_SSH -m recent --set --name sshbf --mask 255.255.255.255 --rsource -j ACCEPT

    Frei übersetzt: Maximal 15 Versuche binnen einer Minute pro Absender eine Verbindung per SSH aufzubauen, sonst war es das.


    In deinem konkreten Fall musst du natürlich die Ports sämtlicher Dienste einzeln freigeben:

    • Minecraft 25565/tcp
    • Teamspeak 9987/udp 10011/tcp 30033/tcp 41144/tcp
    • Webdienste 80/tcp 443/tcp
    • Plesk läuft ggf. auf einem anderen Port, dann dieser auch /tcp
    • MySQL NUR falls von extern Zugriffe auf die Datenbank notwendig sind, ansonsten NICHT freigeben


    Den ganzen Spaß darfst du dann noch einmal machen für ip6tables falls IPv6 angeboten/verwendet wird (will ich doch hoffen).


    Als Schlusswort: iptables ist deprecated und es sollte nftables an dessen Stelle verwendet werden. Hatte selbst noch keine Gelegenheit mich damit näher zu befassen, es gibt jedoch auch "Übersetzer" welche bestehende Regeln von iptables-sprech in nftables-sprech übersetzen.


    Schöne Grüße

    Daher abschließend meine Frage an angeritten: Musstest du nur das zusätzliche IPv6 Netz dazubuchen, oder musstest du den Support auch noch motivieren irgendwelche Einstellungen vorzunehmen.

    Ich habe letzten Endes so viel Stress gemacht bis ich das zus. IPv6 Netz kostenlos dazu bekommen habe.


    Schöne Gruße

    Das Paket heißt mit an Sicherheit grenzender Wahrscheinlichkeit nicht einfach "pip". Vermutlich eher sowas wie "python3-pip".

    Einfach mal apt-cache search pip | grep python und suchen.


    Schöne Gruße

    angeritten Das dürfte dann aber nichts mit den hier geschilderten *BSD-Problemen zu tun haben.

    Jein. Die Symptomatik ist die gleiche welche ich bei der Nutzung des inkludierten v6 Netzes hatte. Lange Wartezeiten bis die Route erstmal steht und dann immer wieder nachpingen müssen damit die hält und nicht mal das zuverlässig funktioniert hat.



    Schöne Gruße

    Was soll sich eigentlich bei einem zusätzlichen IPv6-Subnetz ändern? OK, das wird auf eine Adresse Deines primären Subnetzes geroutet, braucht also kein NDP für jede einzelne Adresse. Für das Ziel dieser Routingaktion ändert sich aber nichts. Dort hat man genau gar nichts gewonnen. Oder übersehe ich da irgendeine Kleinigkeit?


    (Ich verwende kein *BSD und ich weiß somit auch nicht, woran es im Detail scheitert.)

    Von dem was ich hier so gelesen habe ist das inkludierte v6 Netz geswitcht, jedes zus. erworbenes geroutet. Was das im Detail bedeutet weiß ich nicht, ich bin kein Netzwerkspezialist.


    Jedenfalls wollte ich einen Teil des Netzes für LXC Container verwenden, war aber unterm Strich nicht praktikabel, da die Route von seitens Netcup immer wieder fallen gelassen wurde. Tools wie ndppd haben nichts gebracht.

    Das zus. v6 Netz dagegen funktionierte auf Anhieb und fehlerfrei.


    Schöne Grüße

    Das Hauptargument im oben verlinkten Artikel scheint zu sein, dass ein nicht-privilegierter Nutzer einen Prozess auf dem SSH Port starten könnte.

    Das ließe sich umgehen indem per iptables eine simple Portweiterleitung aufgeschaltet wird. Wenn mein öffentlicher SSH port 12345 ist wird dieser per iptables auf localhost:22 weitergeleitet und SSHd angewiesen nur auf localhost zu lauschen. iptables-persistent zu verwenden ist sicher eine empfehlenswerte Idee in dieser Kombination ;)


    Man könnte natürlich das ganze auch noch etwas weiter treiben und einfach für den Spaß-Faktor beispielsweise ein cowrie auf Port 22 schalten (natürlich auch per iptables o.ä. weitergeleitet auf einen nicht-privilegierten Port), aber das geht doch etwas richtig Off-topic ;)


    Schöne Grüße

    Okay, habe aufgegeben. Das inkludierte IPv6 Netz ist faktisch unbrauchbar.


    Habe ein zusätzliches Prefix besorgt. Erste Tests sind äußerst vielversprechend.

    Von bisher 15378 abgesetzten Ping (entspricht gut vier Stunden) ging kein einziger verloren. Bin noch skeptisch. Morgen wissen wir mehr.


    Im Vergleich zu vorher (zufällig ausgewählte Log-Datei) von 267099 Pings gingen 5509 verloren. Der Neuaufbau der Route kann gut und gern mit mindestens 15 Sekunden veranschlagt werden. Das Verhältnis von Ausfallzeit zu Verfügbarkeit zu berechnen schenke ich mir an dieser Stelle.


    Im großen und ganzen dennoch eine rechte Enttäuschung. Wenn man schon 18 Trillionen IP-Adressen zur Verfügung stellt muss man als Anbieter auch damit rechnen, dass auch nur der Bruchteil eines Promills davon auch tatsächlich verwendet werden könnte...

    Einziger Lichtblick ist, dass seitens Netcup anerkannt wird, dass es ein Problem gibt.


    Mein Dank geht raus an H6G und Track1991 für den gelieferten Input.


    Schöne Grüße

    Ob das mehr Lösung oder Workaround ist weiß ich nicht, so tief bin ich in v6 (leider) noch nicht drin. Jedenfalls hab ich jetzt ne funktionierende Config, gefunden in dieser Anleitung: https://youngryan.com/2019/02/…-lxd-containers-on-a-vps/. Der Punkt, den ich noch uncool finde: v4-ping-Latenz 8ms, v6-Latenz 17ms.

    Hallo,

    so wie ich es verstanden habe hast du kein zus. IPv6 Netz und keine Probleme nach dieser Anleitung?

    Ich wüsste nicht wo ich noch schrauben könnte, ich komme nicht weiter....


    Schöne Grüße

    Ich habe mich vor Jahren schon einmal mit Emails von und zu Outlook beschäftigt und es am Ende einfach bleiben lassen. Ist die Zeitverschwendung nicht wert.


    SPF, DKIM, DMARC, der ganze Firlefanz war eingerichtet und funktionstüchtig. Ist dennoch als Spam markiert worden. Microsoft ignoriert bewusst gewisse Standards und kocht sein eigenes Süppchen was Mailserver und deren Konfiguration angeht. Wenn man nicht unbedingt ein mittleres oder großes Unternehmen mit gewissem Einfluss ist, hat man kaum eine Chance von M$ nicht als Spam eingestuft zu werden.


    Und falls die IP des eigenen Mailservers auf irgend einer noch so unwichtigen schwarzen Liste auftaucht hat man sowieso schon verloren.


    Schöne Grüße

    Ich habe gerade einmal für mehrere Stunden aus einem Container heraus alle 15 Sekunden lang einen Ping zu Google abgesetzt. Selbst hier trat ein Packet-Loss von 26% auf. Als Workaround funktioniert dauerhaftes Pingen also auch nicht.

    Ich habe eine Hand voll IRC Bouncer von unterschiedlichen IPs in einen gemeinsamen Channel geworfen. Da kann man schön das Kommen und Gehen verfolgen...

    Die "Pingerei" setze ich selbst ein und mildert das Ganze etwas ab, ist aber kein Allheilmittel.


    Schöne Grüße

    Ob das mehr Lösung oder Workaround ist weiß ich nicht, so tief bin ich in v6 (leider) noch nicht drin. Jedenfalls hab ich jetzt ne funktionierende Config, gefunden in dieser Anleitung: https://youngryan.com/2019/02/…-lxd-containers-on-a-vps/. Der Punkt, den ich noch uncool finde: v4-ping-Latenz 8ms, v6-Latenz 17ms.

    Nach der Anleitung habe ich mich auch gerichtet, aber hänge jetzt bei der neighbour discovery Problematik.

    Nein, leider nicht.


    Acht IPs, acht Verbindungen in einen IRC-Channel. So sieht das die meiste Zeit aus. Bin am überlegen ob ich die kommende Rechnung wegen mangelnder Verfügbarkeit kürze.

    Du kannst auch den Support fragen, ob es hier Tipps gibt - bzw. eine Beschwerde einreichen, warum die Adressen nicht direkt anliegen, zusätzliche Adressen allerdings schon.

    Trotz direkter Nachfrage weigert man sich mir hierauf eine brauchbare Antwort zu geben. Es wird stets ausgewichen und auf die generelle Problematik verwiesen.


    Schöne Grüße

    Es scheint generell ein Problem mit neighbour discovery zu geben. Ein Fix ist wohl in Arbeit. Allerdings klang es nicht unbedingt danach als gäbe es einen Unterschied zwischen zugekauften und inkludierten v6 Netzen.


    Ich habe einem LXC Container sechs fortlaufende Adressen zugewiesen welche im Sekundentakt durchgepingt werden um die Verbindung zu halten. Zuverlässig funktioniert das jedoch nicht. Ich hab jeweils einen IRC Clienten auf eine IP gebunden in diese in einen Channel gepackt. So kann man schön das Kommen und Gehen beobachten.


    Schöne Grüße