Beiträge von angeritten

Vorweg der Hinweis, dass der Support für Debian9 im Juni nächsten Jahres auslaufen wird. Ein Update auf Debian 10 (Buster) wäre bis dahin anzuraten.

Im Vorfeld entsorge ich pauschal mal Pakete, die ohnehin unbrauchbar oder unmöglich sind (spoofing z.B.) sind und ich tue das nicht in der INPUT, sondern bereits vorher im PREROUTING. Kann ab ein paar Millionen Pakete pro Sekunde schon einen Unterschied machen.

-A PREROUTING -m conntrack --ctstate INVALID -j DROP
-A PREROUTING -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP
-A PREROUTING -s 224.0.0.0/3 -j DROP
-A PREROUTING -s 169.254.0.0/16 -j DROP
-A PREROUTING -s 172.16.0.0/12 -j DROP
-A PREROUTING -s 192.0.2.0/24 -j DROP
-A PREROUTING -s 192.168.0.0/16 -j DROP
-A PREROUTING -s 10.0.0.0/8 -j DROP
-A PREROUTING -s 0.0.0.0/8 -j DROP
-A PREROUTING -s 240.0.0.0/5 -j DROP
-A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP
-A PREROUTING -f -j DROP 

Damit ist schon ein Haufen Abfall erschlagen.

-A INPUT -i lo -j ACCEPT # Erlaube Verbindungen von Localhost
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # Bereits bestehende TCP-Verbindungen müssen nicht weiter untersucht werden
-A INPUT -s 1.2.3.4/24 -j ACCEPT #Erlaube Adressbereich des Hosting-Anbieters falls dieser automatische Überwachung für Dienste anbietet
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 2500/min --limit-burst 5000 -j ACCEPT #für einen kleine Webserver mit wenig traffic erlaube bis zu 5000 neue Verbindungen binnen einer Minute verteilt auf alle Absender und erzwinge bei Überschreitung ein Limit von 2500 Verbindung pro Minute

-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # Erlaube den ganz normalen Ping, kann natürlich auch auf 1/s limitiert werden, aber dann am besten pro Absender
-A INPUT -j DROP # alles was nicht in eine Regel passt wegwerfen

Ggf. macht es Sinn wichtige Ports wie SSH gezielt auf einen bestimmten Adressbereich zu "whitelisten" falls es möglich ist. Dann muss sich der Dienst schon mit weniger geskripteten Versuchen da draussen herumschlagen und das Hintergrundrauschen im auth.log wird signifikant reduziert.

Neben dem Limit für alle Nutzer auf einmal (dieses kann ruhig recht hoch angesetzt werden) kann der Traffic dann noch auf die einzelnen Absender herunter gebrochen werden und dort geprüft ob ein einzelner über die Stränge schlägt:

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j IN_SSH
-A IN_SSH -m recent --rcheck --seconds 60 --hitcount 15 --rttl --name sshbf --mask 255.255.255.255 --rsource -j DROP
-A IN_SSH -m recent --set --name sshbf --mask 255.255.255.255 --rsource -j ACCEPT

Frei übersetzt: Maximal 15 Versuche binnen einer Minute pro Absender eine Verbindung per SSH aufzubauen, sonst war es das.

In deinem konkreten Fall musst du natürlich die Ports sämtlicher Dienste einzeln freigeben:

• Minecraft 25565/tcp
• Teamspeak 9987/udp 10011/tcp 30033/tcp 41144/tcp
• Webdienste 80/tcp 443/tcp
• Plesk läuft ggf. auf einem anderen Port, dann dieser auch /tcp
• MySQL NUR falls von extern Zugriffe auf die Datenbank notwendig sind, ansonsten NICHT freigeben

Den ganzen Spaß darfst du dann noch einmal machen für ip6tables falls IPv6 angeboten/verwendet wird (will ich doch hoffen).

Als Schlusswort: iptables ist deprecated und es sollte nftables an dessen Stelle verwendet werden. Hatte selbst noch keine Gelegenheit mich damit näher zu befassen, es gibt jedoch auch "Übersetzer" welche bestehende Regeln von iptables-sprech in nftables-sprech übersetzen.

Schöne Grüße

Zitat von gschwepp

Daher abschließend meine Frage an angeritten: Musstest du nur das zusätzliche IPv6 Netz dazubuchen, oder musstest du den Support auch noch motivieren irgendwelche Einstellungen vorzunehmen.

Ich habe letzten Endes so viel Stress gemacht bis ich das zus. IPv6 Netz kostenlos dazu bekommen habe.

Schöne Gruße

Das Paket heißt mit an Sicherheit grenzender Wahrscheinlichkeit nicht einfach "pip". Vermutlich eher sowas wie "python3-pip".

Einfach mal apt-cache search pip | grep python und suchen.

Schöne Gruße

Installation via pip versucht?

https://github.com/matrix-org/…e/blob/develop/INSTALL.md

Schöne Grüße

Zitat von killerbees19

angeritten Das dürfte dann aber nichts mit den hier geschilderten *BSD-Problemen zu tun haben.

Jein. Die Symptomatik ist die gleiche welche ich bei der Nutzung des inkludierten v6 Netzes hatte. Lange Wartezeiten bis die Route erstmal steht und dann immer wieder nachpingen müssen damit die hält und nicht mal das zuverlässig funktioniert hat.

Schöne Gruße

Zitat von killerbees19

Was soll sich eigentlich bei einem zusätzlichen IPv6-Subnetz ändern? OK, das wird auf eine Adresse Deines primären Subnetzes geroutet, braucht also kein NDP für jede einzelne Adresse. Für das Ziel dieser Routingaktion ändert sich aber nichts. Dort hat man genau gar nichts gewonnen. Oder übersehe ich da irgendeine Kleinigkeit?

(Ich verwende kein *BSD und ich weiß somit auch nicht, woran es im Detail scheitert.)

Von dem was ich hier so gelesen habe ist das inkludierte v6 Netz geswitcht, jedes zus. erworbenes geroutet. Was das im Detail bedeutet weiß ich nicht, ich bin kein Netzwerkspezialist.

Jedenfalls wollte ich einen Teil des Netzes für LXC Container verwenden, war aber unterm Strich nicht praktikabel, da die Route von seitens Netcup immer wieder fallen gelassen wurde. Tools wie ndppd haben nichts gebracht.

Das zus. v6 Netz dagegen funktionierte auf Anhieb und fehlerfrei.

Schöne Grüße

Bekanntes Problem. Liegt nicht an FreeBSD. Habe es schlussendlich durch ein zus. IPv6 Netz gelöst welches vernünftig (seitens Netcup) geroutet wird.

Das Hauptargument im oben verlinkten Artikel scheint zu sein, dass ein nicht-privilegierter Nutzer einen Prozess auf dem SSH Port starten könnte.

Das ließe sich umgehen indem per iptables eine simple Portweiterleitung aufgeschaltet wird. Wenn mein öffentlicher SSH port 12345 ist wird dieser per iptables auf localhost:22 weitergeleitet und SSHd angewiesen nur auf localhost zu lauschen. iptables-persistent zu verwenden ist sicher eine empfehlenswerte Idee in dieser Kombination

Man könnte natürlich das ganze auch noch etwas weiter treiben und einfach für den Spaß-Faktor beispielsweise ein cowrie auf Port 22 schalten (natürlich auch per iptables o.ä. weitergeleitet auf einen nicht-privilegierten Port), aber das geht doch etwas richtig Off-topic

Schöne Grüße

Okay, habe aufgegeben. Das inkludierte IPv6 Netz ist faktisch unbrauchbar.

Habe ein zusätzliches Prefix besorgt. Erste Tests sind äußerst vielversprechend.

Von bisher 15378 abgesetzten Ping (entspricht gut vier Stunden) ging kein einziger verloren. Bin noch skeptisch. Morgen wissen wir mehr.

Im Vergleich zu vorher (zufällig ausgewählte Log-Datei) von 267099 Pings gingen 5509 verloren. Der Neuaufbau der Route kann gut und gern mit mindestens 15 Sekunden veranschlagt werden. Das Verhältnis von Ausfallzeit zu Verfügbarkeit zu berechnen schenke ich mir an dieser Stelle.

Im großen und ganzen dennoch eine rechte Enttäuschung. Wenn man schon 18 Trillionen IP-Adressen zur Verfügung stellt muss man als Anbieter auch damit rechnen, dass auch nur der Bruchteil eines Promills davon auch tatsächlich verwendet werden könnte...

Einziger Lichtblick ist, dass seitens Netcup anerkannt wird, dass es ein Problem gibt.

Mein Dank geht raus an H6G und Track1991 für den gelieferten Input.

Schöne Grüße

Fun fact. Wenn

net.ipv6.conf.eth0.proxy_ndp=1

aktiv ist kann aus den LXC Containern gar nicht mehr gepingt werden:

Destination unreachable: Address unreachable

Wird hier jedoch mit angegeben: https://discuss.linuxcontainer…ith-lxd-4-0-on-a-vps/7322

Zitat von mlohr

Ob das mehr Lösung oder Workaround ist weiß ich nicht, so tief bin ich in v6 (leider) noch nicht drin. Jedenfalls hab ich jetzt ne funktionierende Config, gefunden in dieser Anleitung: https://youngryan.com/2019/02/…-lxd-containers-on-a-vps/. Der Punkt, den ich noch uncool finde: v4-ping-Latenz 8ms, v6-Latenz 17ms.

Hallo,

so wie ich es verstanden habe hast du kein zus. IPv6 Netz und keine Probleme nach dieser Anleitung?

Ich wüsste nicht wo ich noch schrauben könnte, ich komme nicht weiter....

Schöne Grüße

Ich habe mich vor Jahren schon einmal mit Emails von und zu Outlook beschäftigt und es am Ende einfach bleiben lassen. Ist die Zeitverschwendung nicht wert.

SPF, DKIM, DMARC, der ganze Firlefanz war eingerichtet und funktionstüchtig. Ist dennoch als Spam markiert worden. Microsoft ignoriert bewusst gewisse Standards und kocht sein eigenes Süppchen was Mailserver und deren Konfiguration angeht. Wenn man nicht unbedingt ein mittleres oder großes Unternehmen mit gewissem Einfluss ist, hat man kaum eine Chance von M$ nicht als Spam eingestuft zu werden.

Und falls die IP des eigenen Mailservers auf irgend einer noch so unwichtigen schwarzen Liste auftaucht hat man sowieso schon verloren.

Schöne Grüße

Zitat von awcsg

Ich habe gerade einmal für mehrere Stunden aus einem Container heraus alle 15 Sekunden lang einen Ping zu Google abgesetzt. Selbst hier trat ein Packet-Loss von 26% auf. Als Workaround funktioniert dauerhaftes Pingen also auch nicht.

Ich habe eine Hand voll IRC Bouncer von unterschiedlichen IPs in einen gemeinsamen Channel geworfen. Da kann man schön das Kommen und Gehen verfolgen...

Die "Pingerei" setze ich selbst ein und mildert das Ganze etwas ab, ist aber kein Allheilmittel.

Schöne Grüße

Zitat

fd42:42:42::2:4190

Ich habe selbst keine NAT-Regeln, aber iIst das tatsächlich so korrekt? Mir scheint als fehle die Trennung zwischen der IP und dem Port.

Schöne Grüße

Bekanntes Problem. Habe das Äquivalent in LXC. Netcup arbeitet angeblich an einem Fix.

Zitat von Track1991

Ja, gibt es siehe folgendes:

Dazu habe ich Netcup um Stellungnahme gebeten, jedoch weigert man sich beharrlich darauf einzugehen. Wirft alles in allem kein gutes Bild auf den Support und die Technik.

Schöne Grüße

Zitat von mlohr

Ob das mehr Lösung oder Workaround ist weiß ich nicht, so tief bin ich in v6 (leider) noch nicht drin. Jedenfalls hab ich jetzt ne funktionierende Config, gefunden in dieser Anleitung: https://youngryan.com/2019/02/…-lxd-containers-on-a-vps/. Der Punkt, den ich noch uncool finde: v4-ping-Latenz 8ms, v6-Latenz 17ms.

Nach der Anleitung habe ich mich auch gerichtet, aber hänge jetzt bei der neighbour discovery Problematik.

Nein, leider nicht.

Zitat

Mai 09 07:39:32 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 07:39:47 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 08:22:37 * ar_vhost8 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 08:23:34 * ar_vhost8 (ar_vhost8@hidden)

Mai 09 09:47:45 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 09:50:06 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 10:32:19 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 10:32:38 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 12:00:28 * ar_vhost6 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:00:28 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:00:28 * ar_vhost3 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:00:37 * ar_vhost6 (ar_vhost6@hidden)

Mai 09 12:01:12 * ar_vhost3 (ar_vhost3@hidden)

Mai 09 12:01:42 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 12:23:31 * ar_vhost6 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:23:40 * ar_vhost6 (ar_vhost6@hidden)

Mai 09 12:34:31 * ar_vhost7 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:34:31 * ar_vhost5 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:35:27 * ar_vhost7 (ar_vhost7@hidden)

Mai 09 12:35:32 * ar_vhost4 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:37:31 * ar_vhost4 (ar_vhost4@hidden)

Mai 09 12:38:49 * ar_vhost5 (ar_vhost5@hidden)

Mai 09 12:57:04 * ar_vhost7 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 12:58:02 * ar_vhost7 (ar_vhost7@hidden)

Mai 09 13:01:06 * ar_vhost5 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 13:01:23 * ar_vhost5 (ar_vhost5@hidden)

Mai 09 13:20:06 * ar_vhost7 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 13:22:26 * ar_vhost7 (ar_vhost7@hidden)

Mai 09 14:05:40 * ar_vhost5 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 14:05:54 * ar_vhost5 (ar_vhost5@hidden)

Mai 09 16:31:25 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 16:31:25 * ar_vhost4 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 16:31:42 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 16:32:22 * ar_vhost4 (ar_vhost4@hidden)

Mai 09 16:54:58 * ar_vhost5 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 16:55:08 * ar_vhost5 (ar_vhost5@hidden)

Mai 09 17:59:34 * ar_vhost4 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 17:59:42 * ar_vhost4 (ar_vhost4@hidden)

Mai 09 19:43:44 * ar_vhost5 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 19:43:44 * ar_vhost2 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 19:43:44 * ar_vhost4 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 19:43:53 * ar_vhost2 (ar_vhost2@hidden)

Mai 09 19:44:22 * ar_vhost5 (ar_vhost5@hidden)

Mai 09 19:44:53 * ar_vhost4 (ar_vhost4@hidden)

Mai 09 20:06:16 * ar_vhost3 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 20:06:26 * ar_vhost3 (ar_vhost3@hidden)

Mai 09 20:28:19 * ar_vhost7 hat die Verbindung getrennt (Quit: ZNC - https://znc.in).

Mai 09 20:28:28 * ar_vhost7 (ar_vhost7@hidden)

Alles anzeigen

Acht IPs, acht Verbindungen in einen IRC-Channel. So sieht das die meiste Zeit aus. Bin am überlegen ob ich die kommende Rechnung wegen mangelnder Verfügbarkeit kürze.

Zitat von H6G

Du kannst auch den Support fragen, ob es hier Tipps gibt - bzw. eine Beschwerde einreichen, warum die Adressen nicht direkt anliegen, zusätzliche Adressen allerdings schon.

Trotz direkter Nachfrage weigert man sich mir hierauf eine brauchbare Antwort zu geben. Es wird stets ausgewichen und auf die generelle Problematik verwiesen.

Schöne Grüße

Ich weiß nicht genau wie dein Setup aussieht, aber mit IPv6 und LXC scheint es generell ein Problem zu geben. Netcup arbeitet an einem fix.

https://forum.netcup.de/admini…ner-verwenden/#post142107

Es scheint generell ein Problem mit neighbour discovery zu geben. Ein Fix ist wohl in Arbeit. Allerdings klang es nicht unbedingt danach als gäbe es einen Unterschied zwischen zugekauften und inkludierten v6 Netzen.

Ich habe einem LXC Container sechs fortlaufende Adressen zugewiesen welche im Sekundentakt durchgepingt werden um die Verbindung zu halten. Zuverlässig funktioniert das jedoch nicht. Ich hab jeweils einen IRC Clienten auf eine IP gebunden in diese in einen Channel gepackt. So kann man schön das Kommen und Gehen beobachten.

Schöne Grüße

Zitat von H6G

Ich denke im Bereich von Minuten dürfte das auch funktionieren.

Du kannst auch den Support fragen, ob es hier Tipps gibt - bzw. eine Beschwerde einreichen, warum die Adressen nicht direkt anliegen, zusätzliche Adressen allerdings schon.

Habe ich vergangenen Freitag angefragt. Leider noch keine Antwort. Aber mal abwarten.

Schöne Grüße