Posts by netsch1967

    Das brauche ich erst gar nicht auszuprobieren. Denn ich habe dieses Problem mit dem Port 22 so umschifft, dass dieser Port und auch Weitere bei meinen kritischen Servern nur noch hinter einem weiteren Server als Geteway mit VPN-Tunnel und nur noch über das dahinterliegende vLAN erreicht werden können.

    Endlich mal jemand, der etwas von der Materie versteht und wie "Sicherheit" umgesetzt wird.
    Danke für diesen Beitrag!


    :thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup::thumbup:

    Ich hatte mit Icecast-kh Probleme was mit sicherheit zu tun hat also kann man es nicht mit einen Flugzeug mit Löchern im Boden vergleichen man kann auch alles Schlecht reden es gibt moentan eine alternativen in Radio streaming des weiteren verwenden auch die öffentlich rechtlichen in breich radio denn Icecast-kh und auch Laut.fm verwendet in wenn da sicherheits Lücken geben würde beim Icecast-kh würde das schon Längst bekannt sein

    Das Zitat würde ich anders angehen. Mein Flugzeug hat weder Fenster noch Türen oder andere Öffnungen.
    Meine Öffnungen schaffe ich mir kontrolliert selber und wenn es nur das Loch für eine Positionslampe ist.

    Also, ich bin der Meinung, weil die meisten Hacker auch das Programm nmap und dessen Nutzung kennen werden, dass man sich das Verschieben des Ports 22 und auch Weiterer getrost schenken kann. Denn solche oder auch ähnliche Attacken sehe ich eher mal als Grundrauschen an und gehören mittlerweile zum Alltag.

    Stimme ich dir zum Teil zu. Wenn ich mir die Statistiken meiner Protokolle der letzten Jahre anschaue, dann kann ich dir sagen, dass das Portscanning mit der höhe der Ports abnimmt. Zudem kommt es darauf an, ob du einen Reject oder Drop auf den geschlossenen Port machst. Auch sind bei mir grundsätzlich keine Pings zulässig. Klar, der Scan mit NMAP würde immer noch funktionieren. Aber ein Scan über 65535 Ports wird dadurch über Stunden hinaus gezögert.
    Du verhinderst damit keinen Zugriff, aber die Lust diesen Scan zumachen.
    Wenn du dann noch einen sporadischen Portwechsel vornimmst, wird es noch langwieriger.

    Im Schnitt sind meine Ports 3-14 Tage belegt. Bei Zugriffshäufung noch kürzer.

    EDIT: Auch wenn es im ersten Augenblick nicht Sinnvoll erscheint - Ich hasse IPv4. Das ist das erste was ich abschalte. Wenn Dienste erreichbar sein sollen, dann ausschließlich über IPv6. Auch diverse Clouds und FTPs nur über IPv6.

    Und was ist daran schlecht? Wäre es lobenswerter, ...

     

    Hat ja nicht "lange" gedauert :)

    Und da waren sie wieder, die "Profis"...


    Wir holen mal eine Zange raus und schneiden für jeden "nicht richtigen Weg" immer einen Finger oder Zeh ab.

    Mal schauen, ob die Hände und Füße ausreichen um den "richtigen Weg" zu finden.
    Das ist der Unterschied zwischen Hilfe und Tadel.

    Einfach mal kommentarlos drüber nachdenken -

    Aber auch das wird hier nicht funktionieren!

    EDIT: Hab mir 'ne Tüte Chips raus geholt. Mal schauen wie's weiter geht :)

    Ich habe lediglich nach den freizugebenen Ports in deiner Firewall gefragt, nicht nach deiner persönlichen Meinung darüber, ob jemand wie ich einen Rootserver besitzen darf oder ob ich das zum Lernen nutzen kann. Das war nicht Teil meiner Frage. Also zurück zum Thema, danke! Ich wünsche dir noch einen schönen Abend.

    Hallo Flaschensammler.

    Netcup ist ein echt guter Online Anbieter.
    Aber für deine Fragen bist du hier echt im falschen Forum gelandet.
    Bei den vielen "Profis" hier wirst du nicht "gelehrt" sondern eher "belehrt".
    Warte mal ab was für ein Shitstorm auf diese Bemerkung folgt...

    Deine Linux Installation ist eine sog. Grundinstallation oder auch Minimalinstallation von Debian Bookworm (Bookworm=Versionsname).
    Da ist erst mal nix drauf, außer dass du dich anmelden kannst und von Netcup ein ROOT Passwort bekommen hast.
    UFW ist eine Firewall, die du erst einmal installieren musst.
    Empfehle das über die Konsole über das SCP von Netcup zu machen. Mit SSH hast du dich sehr schnell selber ausgesperrt.
    Wenn Fragen sind, melden....


    Schönen Feiertag

    Indem man auf dem Gerät anstatt einer normalen Portfreigabe eine "myFritz" Freigabe einrichtet. Damit erstellt die Box automatisch eine Subdomain für die eigene myFritz Domain ("nas.kfjerlfjfior.myfritz.net"), die dann natürlich auch wieder das Ziel eines CNAME EIntrags sein kann.

    So sieht's aus...

    Bebildert habe ich es jetzt leider auch nicht. Aber da gibt es sehr viele ToDos im Netz.


    Kannst du mir bitte kurz erklären, wie das funktioniert?
    ......
    Warum ?
    (sorry ich habe von diesen ganzen Themen noch keine Ahnung)


    myfritz.net habe ich viele Jahre einwandfrei genutzt, da es auch sehr gut mit IPv6 funktioniert. Teils sogar besser als mit IPv4.

    Der große Vorteile, gegenüber vielen DDNS Anbietern, ist, dass man auch subdomains auf separate IPv6 aus dem eigenen HomeNetz legen kann. Alles gemanaget von der Fritzbox und MyFritz.net.


    Du hast eine Adresse bekomen: xyz.myfritz.net

    Anschließend legst du einen CNAME zu deiner Domain an (ohne WWW): meine.domain.de CNAME xyz.myfritz.net


    Mach auf deinem WinPC einen Terminal auf und probier es mal mit: nslookup xyz.myfritz.net und meine.domain.de (ohne WWW)

    EDIT: Es kann auch sein, dass es ein paar Minuten bis Stunden dauern kann, bis die DNS Änderung herum ist.

    Dir ist klar, dass dein Verhalten bei uns nur einen Schluss zulässt? Also, nutze die Chance, und zu erklären, was genau bei dir passiert ist.

    Kann es sein, dass dir selber die Erfahrung fehlt und du hier Informationen abgrasen willst?

    Wie kann jemand Lösungen finden bei etwas was nicht sein darf, weil es mit deiner Erfahrung nicht sind kann.


    Schließe aus allem was du möchtest, wenn es deiner Genugtuung hilft -

    Ich danke den Helfern vom Netcup Team (Wiki & Co) und den anderen Usern aus anderen Foren.

    Klasse Leute, ihr hab es super und nachvollziebar erklärt und den entscheidenden Fehler/Bug gefunden.

    Eine BITTE an die Admins hier:

    Schließt das Thema bevor es zur Unendlichen Leier wird.

    schade, ich hätte noch gerne Deine IPv6 routingkünste in einem IPv4 tunnel anhand eines traceroutes gesehen.

    Es wäre jetzt echt nicht gut hier Zeilen reinzuschreiben, welche stumpf übernommen werden könnten.
    Da ist es doch sinnvoller sich mit der Materie zu beschäftigen und selber herauszufinden wie es geht. ;)

    Das sehe ich komplett anders. Meines Erachtens ist UFW eine Katastrophe, und vor allem im Zusammenspiel mit Docker für Anfänger absolut ungeeignet.

    Wie ich schon geschrieben habe, wenn's denn einer gelesen hat, ist das System KOMPLETT dicht!
    Da geht nix rein oder raus, auch kein Ping und kein Pong. Nach dem Motto: Gibt es die IP überhaupt?


    UFW ist ein super Consolen Werkzeug. Man sollte es nicht in der Standard Konfiguration nutzen.

    Also erst einmal ALLE Regeln raus und nur das bearbeiten was man WIRKLICH braucht.


    Nach >20 Jahren IPTABLES macht UFW vieles einfacher.

    Übrigens ist eines Standard bei mir:

    Docker installieren und alle Regeln aus UFW und Iptables raus, aber wirklich alle!
    IN and OUT drop ALL!

    Wenn die Dienste wirklich IPv6 nutzen, fließen sie am VPN vorbei. Darauf hatte ich ja oben schon aufmerksam gemacht. Das würde mir zu denken geben, denn wenn sie funktionieren, heißt das, dass sich die Systeme gegenseitig übers Internet erreichen können. Was bedeuten könnte, dass sie auch für jeden anderen erreichbar sind.

    Wenn du gelesen hättest, was ich geschrieben habe, dann würdest du obiges nicht schreiben brauchen.

    Aber es kann ja nicht funktionieren was nicht funktionieren darf oder was man glaubt zu wissen, das es nicht funktionieren kann.

    Da stimme ich H6G zu. Die Konfiguration eines anderen Systems hilft nicht weiter. Die typischen Howtos aus dem Internet funktionieren auch immer nur für den einen spezifischen Fall. Sobald man was anpassen muss, hat man ohne Grundlagenkenntnisse verloren.


    schade, ich hätte noch gerne Deine IPv6 routingkünste in einem IPv4 tunnel anhand eines traceroutes gesehen


    Seit ihr jetzt mit eurer Lästerei durch?

    Es funktioniert und im Inet kann man nachlesen warum das so ist. Beispielzeilen sind ja hier nicht erwünscht.

    Ich stimme zu, dass blindes Abtippen in fast allen Fällen eher kontrproduktiv und vielleicht sogar gefährlich ist.


    Naja blindes Abtippen fördert nicht gerade das Lernen und sich mit dem Stoff zu beschäftigen und ihn zu verstehen


    DANKE für die vielen Beiträge hier.

    Meine Frage ist mehr als beantwortet.

    Bin an dieser Stelle jetzt raus.

    Gruß

    Naja, ob dir das weiterhilft? Ich nutze Ubuntu mit netplan, LXD und Wireguard.

    Warum denkst du, dass das nicht weiter hilft?

    Es gibt sehr viele User, die genau diese Zeilen brauchen um ihr System zu verstehen.

    Das sind "praktische" Beispiele. Ja, da wird auch mal der eine oder andere VPS mit Docker gehackt, da ein "Halbwissen" der Firewall angesetzt.

    Aber da lernt jeder draus und macht das sicher nicht noch einmal.

    Jemandem zu schreiben, wo er wie und was finden kann.... Eine direkte Lösung und wenn man es schon 1000x geschrieben hat. Ein Dozent oder Lehrer wiederholt seinen Stoff auch immer wieder, weil es immer wieder User gibt, die mit dem Stoff erst anfangen.

    Stell dir vor, dein Lehrer hätte zu dir gesagt, dass du dich an das Vorjahr wenden möchtest, die haben das schon mal gemacht -


    Deine IP6TABLES sind nicht weit von meinen entfernt. UFW ist aber ein einfacheres Werkzeug für die Console.


    LXD - Da gibt es noch keine Berührungspunkte. Nutze Docker über die Console.

    Liegt vielleicht daran, dass es GUIs für Docker noch nicht gab als ich mit Docker anfing.


    Daher bin ich mir auch ganz sicher, dass mein VPS mit VPN "dicht" ist.

    Da geht weder was rein noch raus. Wenn der VPN klemmt geht es nur noch über die Netcup root Console.

    Was ist richtig?

    Naja, die kannst letztlich nur du kennen. Befasse dich mit Grundlagen von IP Routing, dann ist es nicht schwer. Das Grundprinzip ist klar: bis eth0 ist es das mitgelieferte /64, weitere Interfaces auf dem Server nutzen das zusätzliche Netz. iptables Regeln brauchst du eh, jetzt mit dem mitgelieferten Netz genauso, wie zukünftig mit dem zweiten Netz. Bis auf die IPs ändert sich nichts.


    Ich komm vom Land. Bei uns heißt er Gockel.

    Die Frage war, wie sehen deine Konfigurationsbeispiele aus?

    von ETH0 auf Docker zu legen


    Du legst vom zusätzlichen Subnetz nichts auf eth0.


    Dann ist es doch richtig -

    ..und das mitgelieferte /64 Präfix liegt am Interface eth0 an?


    Und, wie ist denn nun die "richtige" Konfiguration.

    Poste doch mal deine Interfaces, Iptables, Docker Config, etc.



    Übrigens "der große Hahn" -> Hahn -> sprichwörtlich goggel -> abgeleitet zu google. ;)

    Kommst nicht vom Land - Goggel = Hahn auf dem Mist!