Posts by LebakaasSemme

danke schonmal für die Antworten.
habe jetzt f2b installiert, die Logs + Counter in nftables implementiert und den ssh port geändert.

Hallo zusammen,

bin neu hier und habe seit kurzem einen RS 1000 G 9.5.

Soll erstmal eine Docker-Spielwiese werden - grundsätzlich aber mal eine saubere/sichere Grundlage für Bitwarden bieten.

Grundsätzlich ist mein erstes Interesse den Server erstmal so "abzusichern", dass ssh nur von meiner Heim-Adresse erreichbar ist und der Rest erstmal geblockt wird.

So hab ich Zeit, immer wieder was zu testen und zu konfigurieren und der Server steht nicht tagelang "ungesichert" rum...

Deshalb, erstmal Root-Passwort in ein deutlich längeres Passwort geändert und nftables.service aktiviert und ein "basic-ruleset" eingespielt.

Das Ruleset sieht wie folgt aus:

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;

                # established/related connections
                ct state established, related accept;

                # drop invalid connections
                ct state invalid drop;

                #allow connection from loopback
                iifname lo accept;

                #Allow icmp
                ip protocol icmp accept;

                #Allow  SSH only from home address
                ip saddr xxx.xxx.xxx.xxx tcp dport 22 accept;
                tcp dport 22 drop;

                #LOG all connections
                log flags all;

                #Drop all other incoming connection
                policy drop;
        }
        chain forward {
                type filter hook forward priority 0;
                policy drop;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Die "Live-Logs" hab ich mir dann mal mit "dmesg --follow" angesehen.

Erhalte beispielsweise folgenden Output:

[52927.001733] IN=eth0 OUT= MACSRC=10:0e:7e:XX:XX:XX MACDST=26:87:e1:XX:XX:XX MACPROTO=0800 SRC=24.199.115.205 DST=RS100G9.5-IP LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=62253 PROTO=TCP SPT=51227 DPT=40369 SEQ=1354948354 ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0 
[52927.329105] IN=eth0 OUT= MACSRC=10:0e:7e:XX:XX:XX MACDST=26:87:e1:XX:XX:XX MACPROTO=0800 SRC=180.108.97.6 DST=RS100G9.5-IP LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=16818 PROTO=TCP SPT=21992 DPT=23 SEQ=764326302 ACK=0 WINDOW=27344 RES=0x00 SYN URGP=0

Wenn ich das per iplocation.net prüfe, sind die beiden IPs aus USA und China. andere Logeinträge waren auch aus Russland.

Meine Frage(n):
Wie kann ich erkennen, dass die beiden Pakete auch gedropped wurden?

Kann ich mein nftables Ruleset anpassen, dass nur die gedroppten Pakete geloggt werden und ggf. ein Prefix "NFT Drop-In" (für die Input Chain), "NFT Drop-Out" (für die Output Chain) und "NFT Drop-Fwd" (für die Forward Chain) hinzufügen?

Kann man dann accepted Pakete auch iwie kennzeichnen?

Zudem wäre es angenehm, wenn man im nftables Ruleset meine Home-IP anhand des dyndns hostnames auflösen könnte... aber da hab ich noch nichts dazu ergoogeln können. ändert sich zwar selten die IP, aber trotzdem müsste ich mich, aktuell bei Änderung, über das SCP einloggen und via VNC-Konsole die IP im Ruleset ändern.

Weitere Schritte wären:

- ggf. cloudflare probieren und davorschalten

- VPN (openVPN oder Wireguard)

- nginx proxy manager

- fail2ban implementieren

- WAF/Countryblocking

Vielen Dank fürs Lesen und eure Ratschläge.