Posts by pluto

Hallo zusammen,

ich habe eine Frage zu Fail2Ban, vielleicht kann hier jemand weiterhelfen:

Ich nutze einen RS1000-Server mit Ubuntu22 und zum Test einen Cloud-Tarif bei einem anderen Anbieter. Ich nutze bei beiden die gleiche Konfiguration, was die genutzten Skripte und Anpassungen angeht, da ich einen Performance-Test fahren wollte.

Nun ist mir beim Testen von Fail2Ban etwas aufgefallen:

Bei dem Server des anderen Anbieters werde ich bei Auslösen des Applikations-Bans (über ein fehlerhaftes Login der Weboberfläche) für den kompletten Server gesperrt. Ich kann dann auch keine Verbindung über SSH (und dessen angepassten Port) herstellen.

Beim RS1000 hingegen ist es so, dass ich zwar auch für sämtliche Web-Dienste gesperrt werde (80/443), jedoch über meinen SSH-Port noch eine Verbindung herstellen kann.

Kann ich das irgendwo explizit einstellen, dass ein Applikations-Ban auch einen SSH-Ban zur Folge hat?

Danke!

Ich wollte kurz zurück melden, dass nun alles funktioniert, mit der DynDNS-Lösung über die API. Vielen lieben Dank für eure Zeit und Hilfe

Entschuldige bitte.

Ich gehe dann den Weg mit der myFritz-Variante weiter.

Ich wundere mich jedoch nur, dass die CNAME-Weiterleitung ein PLESK-Zertifikat ausweist, und ich eine Seite von Netcup als Ziel erhalte (siehe letzter Post). Der Tracert zeigt aber eindeutig auf meine FB-IP. Das wäre behoben, wenn der RPI ein SSL-Zertifikat für die Domain beantragen würde...?

Ich denke, dass mein Vorhaben nicht umsetzbar ist. U.a. habe ich gelesen, dass ich bei der CNAME-Weiterleitung keine Ports angeben kann, somit wäre mein RPI ja nicht von außen über die Domain erreichbar.

Sei es drum. Dennoch danke für die freundliche Hilfe hier.

Ok, ich mache langsam Fortschritte:

* DynDNS-Skript funktioniert einwandfrei.

* Ich habe eine andere Domain gewählt, bei der HSTS nicht aktiviert ist, sodass ich die Zertifikatsmeldung wegklicken kann
* Nun erhalte ich aber nach dem Ignorieren der Warnung diese Seite:

SCR-20230814-kxpj.jpeg

Wie kann das sein, bzw. was mache ich falsch? Wenn ich die IP selbst aufrufe (die ich per A-Record ja eingetragen habe) erscheint die Seite der Frizbox...?

Das Zertifikat ist auch ein "PLESK"-Zertifkat...leitet er doch nicht richtig weiter?

Verstehe. Aber ggf. lässt sich da etwas über einen Cronjob auf dem RPI automatisieren, ich schaue mal.

Eine andere Frage die ich noch zur Fritzbox/API-Lösung hätte: Habt ihr dazu die TTL im CCP angepasst? Der Wert von 24h (86400) ist da doch etwas schwierig, oder?

Ausschließlich mit IPv4

Danke

Ich würde gerne die Myfritz-Lösung umgehen, ich versuche es mal mit dem API-Skript.

Richtig, das freizugebende Gerät wäre ein Raspberry Pi. Es wäre aber doch so, dass, wenn sich die IP ändert (ich spreche jetzt von der API-Lösung und einem A-Record auf meine dynamische IP des ISP), doch auch das Zertifikat erneuert werden müsste, oder? Zertifikat und IP passen dann ja nicht mehr zusammen?

Hallo Virinum,

danke für die Rückmeldung. Das verstehe ich

Ich würde dann ohnehin nur noch Variante 2 weiter verfolgen, es also mit dem DynDNS und dem eigenen Webspace versuchen. Auch da würde es so sein, dass ich das Zertifikat selbst beantragen / verlängern muss?

Danke

Hallo zusammen,

ich würde gerne ein lokales Gerät in meinem Netzwerk von außen erreichbar machen und dazu eine meiner Netcup-Subdomains als Host (quasi als DynDNS) nutzen. Verfügbar ist eine Fritzbox, ein Netcup-Webspace-Account (kein VPS, oder so) und eine entsprechende Domain.

Ich habe dazu schon viel gelesen und bin im Forum auf zwei Lösungen gestoßen. Dazu habe ich ein paar kleine Fragen:

1. mögliche Lösung:

1.) CNAME-Eintrag der Subdomain auf myFritz-Adresse setzen

* Ich habe dazu die MyFritz-Adresse in der FB aktiviert

* das Let's Encrypt-Zertifikat wurde auch erfolgreich über die FB erstellt

* die FB ist über den Link erreichbar (HTTP und HTTPS, ohne separate Port-Angabe).

* Nun habe ich einen CNAME-Eintrag erstellt, welche laut tracert auch auf meinen Anschluss auflöst:

SCR-20230814-ibyk.png

ch erhalte jedoch beim Aufruf der Seite diese Fehlermeldung:

SCR-20230813-qwfc.png

Nun dachte ich, dass es daran liegt, dass ich kein SSL-Zertifikat für die Subdomain habe.

* Dann also für eine andere Subdomain ein Zertifikat beantragt (Let's Encrpyt, über Netcup CCP), und danach die Subdomain gelöscht und DNS-Eintrag gesetzt

* Gleiches Ergebnis.

Was mache ich da falsch, bzw. wie löst ihr das? Liegt es daran, dass ich HSTS für die Domain aktiviert habe?

2. mögliche Lösung:

Dann habe ich gelesen (LINK), dass ich diese "umständliche Lösung" ja eigentlich gar nicht benötige.

Wenn ich es richtig verstehe, könnte ich das direkt mit der Fritzbox und meinem Webspace und der NetCup-API lösen? Wie seid ihr dazu vorgegangen? Reicht dazu dieses Skript aus (LINK)?

Wie macht ihr das dann mit der Einbindung eines SSL-Zertifikats? Ich habe das Wildcard-Zertifikat für meine Domain rausgenommen, da sich dieses laut Kundenservice nicht automatisch verlängert. Für diese Subdomain selbst kann ich aber kein über das CCP kein Zertifikat beantragen, da ja kein Webspace damit zugeordnet wird, sondern nur ein DNS-Eintrag existiert. Wie habt ihr das gelöst, sodass es sich automatisch verlängert?

Fragen über Fragen...

Vielen Dank für eure Hilfe.

LG
pluto

Ich habe es glaube ich gefunden; die Mailfilter waren bei mir deaktiviert

pasted-from-clipboard.png

Hallo zusammen,

anbei ein kleines Update: Der eingetragene Filter greift leider nicht....

Könnte es daran liegen, dass ich keinen Doppelpunkt angeben kann; also nur "X-Envelope-To" statt "X-Envelope-To:" bzw. "X-Original-To" statt "X-Original-To:"

Vielen Dank für die Unterstützung!

Das versuche ich, danke

Ah, danke dir!

Kann es sein, dass ich die drei Punkte auswählen muss, und dort dann händisch "Header" eintrage?

pasted-from-clipboard.png

Hallo zusammen,

ich habe eine Frage zur Einrichtung der Mailfilter im Webmail01:

Ich würde gerne nach der Quelltextzeile "X-Original-To" filtern und bei einem Match die Mail in einen Unterordner verschieben.

Dazu habe ich einen Filter wie folgt angelegt:

Regeln:

[Zeichenkette] enthält "X-Original-To: adresse@domain.tld"

Aktionen:

-> Verschieben in SPAM

Jedoch scheint die Regel nicht zu greifen. Habe ich hier einen Denkfehler, oder kann man ggf. gar nicht den Quelltext der Mails filtern oder müsste es anders lösen?

Vielen Dank vorab