Posts by uwe

    Hej


    du musst das auch in deinem virtuellen Host konfigurieren. Welchen Webserver hast du?

    Musst du nur in die Konfig hinzufügen - der Webserver muss ja aufgrund des Hostheaders entscheiden, in welches Verzeichnis er dich leitet.


    Gruß

    "Connection refused" bedeutet aber, dass die TCP-Verbindung bereits abgewiesen wurde. Die von tab geschilderten Ursachen können da noch gar nicht zutreffen.


    Prinzipiell kann man das nur schrittweise analysieren:

    • Überprüfe die Firewall am Server und starte auch mal tcpdump, notfalls über die VNC-Konsole. Kommen die SYN-Pakete des Clients überhaupt am Server an?
    • Falls nichts am Server ankommt, überprüfe die Firewall am Client. Auch dort mal tcpdump (oder Wireshark) starten und schauen, was genau raus geht bzw. rein kommt.
    • Die letzte Station wäre jeder Router dazwischen, auf den Du Zugriff hast. Dort genau das gleiche überprüfen, sofern möglich.

    ich sehe es so, das der SSH Server erreichbar ist, aber den Verbidungsaufbau ablehnt. Ich würde als erstes mal die Logs checken, ob da ein Hinweis ist. Dann die Firewall bzw. Fail2Ban checken.

    Meiner Ansicht nach kommt ein "Connection timed out" - wenn der SSH Server überhaupt nicht erreichbar wäre.

    Hallo,

    Connection refused bedeutet in jedem Fall mal, das dein Server erreichbar ist - aber dein Server die Verbindung nicht zulässt.
    fail2ban ist normal so konfiguriert, das er die IP, die 3x das falsche Passwort eingegeben hat diese IP für 3(ich glaub es sind normal 3 Stunden?) sperrt.

    Gruß

    Hej


    entweder du machst einen virtuellen Host an deinem Webserver (APACHE/NGINX) und dementsprechende DNS Einträge(Subdomains) - da kannst du über den HostHeader dann auf Directorys verweisen, ZB

    asdf.domain.net --> /var/html/asdf/
    xxxx.domain.net --> /var/html/xxxx/

    1234.domain.net --> /var/html/1234/

    etc.


    oder du machst im Hautpdirectory einen MetaRefresh:


    index.html im Hauptdir:


    HTML
    <html>
      <title>Login</title>
      <META http-equiv=refresh
            content="0; URL=http://www.domain.net/1234/">
    </html>

    Gruß uwe


    PS: achso, wenn die Unterseite mit einer anderen Domain erreichbar sein soll, dann geht es eh nur mit virtuellen Hosts. Das ist kein großes Thema..

    Hej,


    Druckerei aus IT Sicht kenne ich. Da gibt es nicht viel, ich kenne deinen ehml. Arbeitgeber ja nicht, aber es ist im Endeffekt ganz normale IT, bis zu einem gewissen Punkt. Und an dem Punkt kommen dann eh die Spezialisten zum Einsatz - je nach Druckmaschine oder Vordruckstufe - das macht keine Hauseigene IT. Da bist dann bei MAN, AGFA oder den Firmen angestellt und kennst dich mit Druckvorstufe aus. Weniger mit IT/Netzwerk oder Programmieren...
    Als Quereinsteiger hat man in der IT IMMER Chancen, warum auch nicht? Ganz viele in der Branche sind Quereinsteiger und haben davor Möbel gebaut oder Schweine halbiert...
    Welcher Bereich - das hängt ganz von dir ab - du wirst in jedem Bereich einen Job bekommen, wenn du darin gut bist.

    Auch das mit den Zertifizierungen sehe ich nicht so eng - klar, es mag Firmen geben, die geil drauf sind - das hat aber meist den Aspekt, das die sich das dann auf die Webseite schreiben können und damit werben, 25 CCN? zu haben; das kommt aber auf die Firma an - als interner Dienstleister in einem Konzern ist das egal. Als Netzwerkspezialist willst natürlich potentielle Kunden mit von deiner Profession überzeugen..

    Ich würde an deiner Stelle einfach mal tun; anfangen autodidaktisch Dinge zu tun und herauszufinden, was Spaß macht. Evtl. hilft dir auch Youtube, da einfach mal einige Videos checken, Netzwerktechnik, Entwickler, Operations... was auch immer, da gibt´s echt coole Videos um einen Einblick zu bekommen, was die Menschen da so tun. Ich hab das unlängst mal meiner Frau vorgespielt um ihr zu zeigen, was ich so den ganzen Tag mache (die haben ja keine Vorstellung, auch die Kinder finden den Job cool, den ganzen Tag Computerspielen).
    Und dann halt parallel dazu dein Einstieg suchen/finden - dein Weg könnte für den Anfang mal im Support sein, da werden oft Leute eingestellt, die nicht soooo TOP ausgebildet sind und mal die Sachen grob abfedern, Tickets erstellen - damit sich die Spezialisten dann in Ruhe und strukturiert darum kümmern können.
    Auch ich hab vor vielen vielen Jahren als Schulabbrecher so angefangen - habe mich für die Themen interessiert, die Vorgesetzten sehen das und du wirst die Chance bekommen.
    WENN du es halt auch packst - ohne dich zu kennen, es gibt halt Menschen, die sind dafür einfach nicht die Richtigen, aus unterschiedlichsten Gründen - abgesehen von der Kompetenz gibt es da noch viele andere Faktoren, Teamfähigkeit ist sehr wichtig - aber auch psychisch ist der Beruf sehr belastend - hilft ja nichts, wenn man als Mensch dann zugrunde geht..
    Ganz ehrlich, ich würde mir da gar nicht so viele Gedanken machen, eher nur einen groben Plan. Das läuft dann schon von alleine... und je nach dem wie sehr du dich dann da reinkniest - bekommst du später die Abrechnung.
    In meinem Fall war das am Anfang schon recht heftig, bin da fast jeden Abend sehr lange gesessen und hab mir diverse Dinge angesehen; was mir aber auch Spaß gemacht hat - Zwang darf das keiner sein, das würde nicht klappen.
    Div. Schulungen oder Zertifizierungen halte ich vor allem als Privater für keine gute Idee, zum Einen ist das sehr teuer - zum Anderen gibt es im Internet wirklich genug an Infos um gezielt zu lernen. Die Schulungen oder Zertifizierungen bietet dir dann eh der Betrieb an, wenn die das benötigen. Gewisse Dinge MUSS man auch machen - wenn du zB. einen Linux-Host für SAP betreust und der ein Cluster sein soll dann schreibt SAP vor, das den nur ein zertifizierter "Red Hat Certified Specialist in High Availability Clustering" angreifen darf, sonst bekommst seitens der Applikation - also SAP - keinen Support mehr - da ist es dann natürlich unerlässlich, das Examen positiv abzuschließen. Das gehört dann aber auch dir und wertet dich als Person auf - das nimmst dann theoretisch auch in den nächsten Job mit. Gerade so spezielles KnowHow (zb. SAP) sind oft unverschämt hoch bezahlt.
    Viel Erfolg

    gruß uwe

    Hej


    meine ersten zwei Regeln sind:

    Code
    DROP_GEOIP  all  --  anywhere             anywhere
    FAIL2BAN   all  --  anywhere             anywhere


    Erstmal sehr restriktives GEO Drop - je nach dem was du auf deinem Server machst, oft genügt es sogar DACH freizugeben und den Rest zu sperren.
    Dann Fail2Ban auf alle Dienste aktivieren, wo es Sinn macht.
    Dann würde ich mir Gedanken machen, ob dich auch etwas interessiert, was gut ist - zb. "positive" Zugriffe auf deinen Webserver oder so.

    Und geloggt wird zum Schluss. Das kannst dann am Anfang auswerten und. ggfl. weitere Rules hinzufügen. Irgendwann läuft das Ding dann und die Logs interessieren dich nicht mehr wirklich.

    Gruß

    PS: fail2ban läuft bei mir zB. für folgende Dienste:

    - Jail list: apache-auth, dovecot, mysqld-auth, nginx-botsearch, nginx-http-auth, nginx-limit-req, openvpn, owncloud, postfix, postfix-rbl, sshd, webmin-auth

    Und da sperre ich ganz restriktiv 3 Versuche in 10Min für 1 Monat.

    Ja, der Unterschied der CAT Spezifikationen ist im Endeffekt nur - die Geschwindigkeit, für die Kabel mindestens ausgelegt sind.
    Meiner Meinung/Erfahrung nach können aber selbst Cat5 Kabel höhere Geschwindigkeiten als sie sollten - die Specs sind das Minimum bei den schlechtmöglichsten Umständen - da meine ich spielt die Länge eine große Rolle.

    Hallo


    ich bin seit über 25 Jahren in der Netzwerktechnik und bin der Meinung - ohne da jetzt großartig analytisch in die Physik gehen zu wollen - alle Kabel sind "ok".

    Es gibt Server oder Patchpanele, da sind die Kabel sehr alt - wer hat den einen Task "tauschen wir mal alle 300 Netzwerkkabel aus - oft wird bei einer Migration auch das alte Kabel einfach weiter verwendet.
    Viel schlimmer ist es aber in der Praxis, wenn Kabel kaputt sind, Clips abgebrochen oder einfach beschädigt.


    Ich selbst hatte erst einmal den Fall, das ich ein Kabel gegen ein "besseres" tauschen musste. Das war an meiner Heizungsanlage in meinem Haus. So eine Anlage hat ja schon so extrem viele Kabel und Sensoren, die gehen dann in einem Strang mit all den anderen Kabeln (einige 220v Kabel für Pumpe etc.) "nach oben".

    Und da wollte das Netzwerk einfach nicht funktionieren - ich gehe davon aus, das das in dem Strang mit den ganzen Stromkabeln einfach gestört wurde.

    Das hab ich dann gegen ein geschirmtes Kabel getauscht (das war 10Meter lang und ging rauf in die Wohnung) - dann funktionierte alles.


    Ein weiterer Gedanke - die Hausverkabelung im Büro. Die ist oft mehr als 10 Jahre alt - wer tauscht im Büro (also vom Patchpanel bis zur Dose am Arbeitsplatz) die Kabel aus? Die können tlws. über 20 Jahre alt sein - und noch gut funktionieren. Selbst mit POE gab´s da keinen großartigen Stress - wenngleich man da aufpassen muss, wie viel Leistung die Kabel vertragen. Wenn man seinen Laptop über Poe laden möchte (das gibt´s aber eh noch eher selten) - dann wird´s auf jeden Fall oft nötig sein, die Kabel (auch die Hausverkabelung) zu prüfen/tauschen.


    Gruß

    Hallo,


    sorry - ich war etwas im Stress, daher nur der Link ohne Info.


    Also das über´s Routing abzubilden wäre Wahnsinn.

    geo-ip Filter ist die richtige Wahl für diese Anforderung.


    Grundlegend solltest du dich aber mal mit iptables auseinandersetzen. Das solltest du so oder so auf deinem Server aktiv haben, ansonst bist du ja komplett ungeschützt im Netz. Ich würde das auch alles über CLI machen, die Befehle sind nicht sooo schwer.

    Ich würde dir folgendes Vorgehen empfehlen - iptables installieren und mal damit "spielen" (oft wird auch ufw verwendet, das ist um einiges einfacher für einfache Anforderungen - in dem Fall würde das aber eher für Verwirrung sorgen, wie ich meine. UFW platziert im Endeffekt auch nur die Chains im IPTABLES). Wichtig ist bei dem Thema halt IMMER, das du einen Zugriff auf das Webinterface hast, und damit auf den Server kannst - falls du dich selbst aussperren solltest - und die IPTABLES Conig neu laden möchtest. Und, das wirst du ;)
    Auch wichtig ist herauszufinden, wie du mit den Configs von IPTABLES umgehst - wenn du da was änderst und nicht "persistent" machst ist die Änderung beim restart des Servers oder des Prozesses wieder weg. Aber auch dazu gibt es einige Anleitungen, Hinweise bzw. Wege.


    Dann kannst du im Endeffekt GEOIP Filter nach Anleitung installieren, dann ist das mal aktiv. Da musst du dir halt dann auch überlegen, was du blockst (oder zulässt - du könntest im ersten Schritt mal nur "DACH" - also Ö/DE/CH zulassen, dann hast mal alles Andere ausgesperrt. Weiß ja nicht, was dein Server hostet - aber so Dinge probiert man so oder so auf einem Testserver mal aus.

    So kannst du zB. DACH freischalten, musst aber danach alles blocken:

    Code
    iptables -A [CHAIN] -m geoip --src-cc AT,CH,DE -j ACCEPT

    oder so dropst du direkt einige Länder, basierend auf der IP <--> Länder Tabelle, die du ja als .csv wie beschrieben auf deine Server bereitstellst:


    Code
    iptables -A [CHAIN] -m geoip --src-cc RU -j DROP
    iptables -A [CHAIN] -m geoip --src-cc CN -j DROP


    Dann würde ich aber auf jeden Fall fail2ban installieren - das ist auch relativ einfach und parst dir im Endeffekt aus den Logfiles (kannst dann einstellen, was du brauchst - im Endeffekt primär mal das SSH Logfile) die failed Logins raus.

    Wenn da zB. jemand 3x in 10min das falsche Passwort via ssh eingibt wird er für 3 Stunden geblockt (die Werte kannst du dir aussuchen).

    Das klappt dann auch für alle anderen Dienste/Logfiles - je nach dem, was halt im Internet erreichbar und dementsprechend angreifbar ist.

    Auf Basis dessen kannst du dann auch deine GEOIP Filter anpassen, Fail2Ban schickt dir zb. ein Mail als Info:


    Code
    Hi,
    
    The IP x.x.100.10 has just been banned by Fail2Ban after
    3 attempts against sshd.

    Da kannst dann mit dem Befehl "geoiplookup" auf deinem Server checken, der sagt dir dann, das das zb. aus FR kommt...


    Es gibt zu jedem der Themen genügend sehr gute Anleitungen im Netz. Schau mal, was du da findest. Sonst einfach hier fragen...


    gruß uwe