Hallo,
natürlich nicht 
Kann den die .xml Datei auch beispielsweise unter autoconfig.der-webcode.de liegen obwohl der Host mail.der-webcode.de lautet, vorausgesetzt ich habe die Domain eingerichtet? Und sind die DNS Einstellungen denn wenigstens soweit korrekt?
Einen wunderschönen guten Tag,
ich bin aktuell ein wenig am verzweifeln wegen den Einstellungen für Autodiscover/Autoconfig der automatischen Einstellungen für E-Mail über DNS. Aktuell sehen die Einstellungen wie folgt aus:
* IN A 0 37.120.183.19
autoconfig 3600 IN CNAME 10 autoconfig.mail.der-webcode.de.
86400 IN MX 10 mail.der-webcode.de
mail 86400 IN A 0 188.68.49.176
_autodiscover._tcp 3600 IN SRV 0 0 587 mail.der-webcode.de
_autodiscover._tcp 3600INSRV 00 110 mail.der-webcode.de
_imap._tcp 3600 IN SRV 0 0 587 mail.der-webcode.de
_imaps._tcp 3600 IN SRV 0 0 587 mail.der-webcode.de
_pop3._tcp 3600 IN SRV 0 0 110 mail.der-webcode.de
_pop3s._tcp 3600 IN SRV 0 0 110 mail.der-webcode.de
Allerdings zieht sich beispielsweise Thunderbird keine automatische Portkonfiguration und stellt folglich auch nicht auf den Host mail.der-webcode.de um.
Wie sieht dies bei euch aus?
Es kann zwar sein, dass der Speicher "eigentlich" überhaupt nicht voll ist, aber durch irgendwas oder irgendjemand die Inodes voll ausgereizt sind. Daher gibt es ja auch immer 5% root-Reserve falls mal das /home Verzeichnis etc. welche zum Anmelden benötigt werden voll sind. Beim Storagespace natürlich nicht relevant aber ein Anhalt.
Mittels "df -i" kann man sich die Inodes Auslastung anzeigen lassen.
Ich habe mir das ganze nochmal angeschaut und bitte verbessert mich wenn ich falsch liege. Jetzt einmal abgesehen von state oder conntrack, der Aufbau ist der gleiche, steht bei mir die Stateful Inspection oben. D.h. eine Verbindung wird nur zugelassen wenn diese Established oder Related ist, also keine New.
Wenn ich also, z.B. ssh Aufbaue und keine aktive Verbindung habe, dann trifft diese Regel nicht zu und es wird an zur ssh Rule gesprungen, die dann ja nur den Status New haben kann, andernfalls würde ja Established/Related zum tragen kommen. Daher muss ich hier gar nicht mit state/conntrack arbeiten, da es nichts anderes, wie bereits erwähnt, sein kann als New. Folglich kann ich bei jeden neuen Rule mit dem Status arbeiten muss es aber nicht?
Grüße
Na dann habe ich heute wieder etwas dazugelernt. Danke erstmal, ich werde das nochmal überarbeiten und dann nochmal posten
Das prüfe ich doch allerdings direkt am Anfang:
2 2617 283K ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 144 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
4 26 1196 MYDROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 0 0 ACCEPT all -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 0 0 DROP tcp -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
7 0 0 MYDROP all -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 state INVALID
8 0 0 MYDROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALIDEigentlich sollte doch hier erst einmal jede Verbindung durch müssen, damit nachfolgende Regeln greifen.
Wie sieht den der iptables Befehl für Dein Beispiel aus?
root:/opt# iptables -L -n -v --line-numbers
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 19 7126 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
2 2617 283K ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 1 44 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
4 26 1196 MYDROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 0 0 ACCEPT all -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 0 0 DROP tcp -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
7 0 0 MYDROP all -- eth0:1 * 0.0.0.0/0 0.0.0.0/0 state INVALID
8 0 0 MYDROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
10 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
11 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
12 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
13 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x01
14 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
15 8 480 DROP tcp -- * * 0.0.0.0/0 37.120.183.x tcp dpt:21
16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:8443
17 0 0 DROP udp -- * * 0.0.0.0/0 188.68.49.x udp dpt:8443
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:8447
19 0 0 tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:22 state NEW recent: SET name: ssh side: source mask: 255.255.255.255
20 0 0 MYDROP tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:22 recent: CHECK seconds: 60 hit_count: 4 TTL-Match name: ssh side: source mask: 255.255.255.255
21 0 0 MYDROP tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:22 recent: UPDATE seconds: 60 hit_count: 3 TTL-Match name: ssh side: source mask: 255.255.255.255
22 0 0 MYACCEPT tcp -- * * 0.0.0.0/0 188.68.49.x tcp dpt:22
23 210 12568 ACCEPT tcp -- * * 0.0.0.0/0 37.120.183.x tcp dpt:80
24 92 5380 ACCEPT tcp -- * * 0.0.0.0/0 37.120.183.x tcp dpt:443
25 7 400 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
26 345K 21M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 MYDROP all -- * * 127.0.0.0/8 0.0.0.0/0
2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
4 0 0 MYDROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
6 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
7 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
8 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
9 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x01
10 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
11 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 19 7126 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
2 2026 1663K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
4 0 0 MYDROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 2 136 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain MYACCEPT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "FW-ACCEPT: "
2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain MYDROP (8 references)
num pkts bytes target prot opt in out source destination
1 26 1196 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "FW-DROP: "
2 26 1196 DROP all -- * * 0.0.0.0/0 0.0.0.0/0Mit nmap 7.0 (nmap -p 1-65535 -T4 -A -v 37.120.183.x) unter Windows 10 erhalte ich folgende Ausgabe:
[...]Scanning 37.120.183.x [65535 ports]
Discovered open port 80/tcp on 37.120.183.x
Discovered open port 21/tcp on 37.120.183.x
Discovered open port 443/tcp on 37.120.183.x
Discovered open port 8080/tcp on 37.120.183.x[...]Allerdings mit nmap 6.40 von einem vServer erhalte ich ein ganz anderes Bild, welches auch viel detaillierter ist und auch dem entspricht was ich in den iptables definiert habe:
[...]Discovered open port 443/tcp on 37.120.183.xx
Discovered open port 80/tcp on 37.120.183.x[...]PORT STATE SERVICE VERSION
80/tcp open http Apache httpd
|_http-favicon: Unknown favicon MD5: 5AF5E247A0D4EF584D7CCE451847885D
|_http-methods: POST OPTIONS GET HEAD
|_http-title: Domain Default page
443/tcp open ssl/http Apache httpd
|_http-favicon: Unknown favicon MD5: 5AF5E247A0D4EF584D7CCE451847885D
|_http-methods: POST OPTIONS GET HEAD
|_http-title: Domain Default page
| ssl-cert: Subject: commonName=v.yourvserver.net
| Issuer: commonName=COMODO RSA Domain Validation Secure Server CA/organizationName=COMODO CA Limited/stateOrProvinceName=Greater Manchester/countryName=GB
| Public Key type: rsa
| Public Key bits: 2048
| Not valid before: 2015-12-02T00:00:00+00:00
| Not valid after: 2016-11-21T23:59:59+00:00
| MD5: 203a 7d03 8fdd 87c3 37a3 b71b 6085 1934
|_SHA-1: f052 ae87 e644 71d9 a3e2 142b 1492 6b3b 111b 4d08
|_ssl-date: 1975-02-07T15:13:49+00:00; -40y299d21h06m24s from local time.Jetzt bin ich wirklich überfragt. Liegt es vielleicht daran, dass ich mit Windows über WLAN den nmap Scan starte?
Einen wunderschönen guten Tag,
ich habe aktuell einen Root-Server auf KVM Basis (sind ja alle) und eine zweite ipv4 Adresse erhalten:
root@v22xxxxx:/etc/network# ifconfig
eth0 Link encap:Ethernet HWaddr ba:52:8b:a1:2b:dd
inet addr:188.68.49.x Bcast:188.68.51.255 Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71946 errors:0 dropped:0 overruns:0 frame:0
TX packets:13504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10463030 (9.9 MiB) TX bytes:11649560 (11.1 MiB)
eth0:1 Link encap:Ethernet HWaddr ba:52:8b:a1:2b:dd
inet addr:37.120.183.x Bcast:37.120.183.19 Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:69 errors:0 dropped:0 overruns:0 frame:0
TX packets:69 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:21751 (21.2 KiB) TX bytes:21751 (21.2 KiB)In der /etc/Network/Interfaces ist es wie folgt definiert:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 188.68.49.x
netmask 255.255.252.0
broadcast 188.68.51.255
gateway 188.68.48.1
auto eth0:1
iface eth0:1 inet static
address 37.120.183.x
netmask 255.255.255.255Wenn ich jetzt beide IP-Adressen mit NMAP scanne, dann ist bei der ursprünglich zugewiesenen IP-Adresse (eth0) alles dicht, bei der zusätzlichen IP-Adresse (eth0:1) zeigt er mir mehrere offenen Ports an.
Hier einmal meine iptables Konfiguration:
#!/bin/bash
#iptables zurücksetzen
/sbin/iptables -F
/sbin/ip6tables -F
/sbin/iptables -Z
/sbin/ip6tables -Z
/sbin/iptables -X
/sbin/ip6tables -X
#iptables verbietet alles
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/ip6tables -P INPUT DROP
/sbin/ip6tables -P OUTPUT DROP
/sbin/ip6tables -P FORWARD DROP
#Persönliche chains
/sbin/iptables -N MYDROP
/sbin/iptables -N MYACCEPT
#Loopback Kommunikation zulassen
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
#/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
#Antispoofing
/sbin/iptables -A FORWARD -s 127.0.0.0/8 -j MYDROP
#Konfiguration my chains
/sbin/iptables -A MYDROP -j LOG --log-level 6 --log-prefix "FW-DROP: "
/sbin/iptables -A MYDROP -j DROP
/sbin/iptables -A MYACCEPT -j LOG --log-level 6 --log-prefix "FW-ACCEPT: "
/sbin/iptables -A MYACCEPT -j ACCEPT
#Stateful Inspection
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -m state --state INVALID -j MYDROP
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A OUTPUT -m state --state INVALID -j MYDROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A FORWARD -m state --state INVALID -j MYDROP
/sbin/iptables -A INPUT -m state --state INVALID -j MYDROP
#Plesk
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 8443 -j ACCEPT
/sbin/iptables -A INPUT -p udp -d 188.68.49.x --dport 8443 -j DROP
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 8447 -j ACCEPT
#SSH
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 22 -m state --state NEW -m recent --name ssh --set
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 22 -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name ssh --rsource -j MYDROP
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 22 -m recent --update --seconds 60 --hitcount 3 --rttl --name ssh --rsource -j MYDROP
/sbin/iptables -A INPUT -p tcp -d 188.68.49.x --dport 22 -j MYACCEPT
#WWW
/sbin/iptables -A INPUT -p tcp -d 37.120.183.x --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d 37.120.183.x --dport 443 -j ACCEPT
#Unbekanntes Verbieten / OUTPUT generell erlauben
/sbin/iptables -A INPUT -j DROP
/sbin/ip6tables -A INPUT -j DROP
/sbin/iptables -A OUTPUT -j ACCEPT
/sbin/ip6tables -A OUTPUT -j DROP
/sbin/iptables -A FORWARD -j DROP
/sbin/ip6tables -A FORWARD -j DROPIch komme leider aktuell nicht mehr weiter, stehe Gedanklich ein wenig auf der Leitung. Warum zeigt mit nmap 37.120.183.x mit offenen Ports und 188.68.49.x nur mit den freigegebenen Ports an? Wenn ich das richtig verstanden habe, ist eth0:1 nur eine virtuelle Netzwerkkarte. Muss ich diesbezüglich in iptables anders rangehen?
Grüße
