Beiträge von zoro

Zitat von perryflynn

Das firewall.sh Script erstellt eine iptables rule welche ESTABLISHED,RELATED Pakete generell erlaubt. Sprich es werden alle Pakete durchgelassen, welche schon mal durch eine andere Regel akzeptiert wurden (Conntrack). Das ist so auch gut und auch Standardvorgehensweise, allerdings auch ein Problem wenn die Einbindung von fail2ban erst nach dieser Regel geschieht.

Dann würden die DROP Anweisungen die fail2ban erzeugt niemals erreicht werden.

Poste mal bitte die Ausgabe von:

Code

iptables -L -n

Alles anzeigen

Siehe link: https://ufile.io/4tt8p

(Es sind zuviele zeichen, um sie hier aufzulisten)

Sieht gut aus oder?o,O

Zitat von perryflynn

An welcher stelle steht die ESTABLISHED,RELATED Regel? Die könnte den DROP bei bereits hergestellten Verbindungen aushebeln. Stichwort Conntrack.

Ich bin leider ganz schön noobi

"ESTABLISHED,RELATED Regel?" was ist das?

Ich belese mich eben mal zu Conntrack

Hallo zusammen,

wie im Header eigentlich schon steht, habe ich versucht mit mit den iptables von Fail2Ban, ips zu blocken-als tutorial diente-> http://www.myslug.de/index.php…ng:_iptables_und_Fail2Ban

Erklärung zu der Erstellung ist unter der Unterschrift "nano /etc/init.d/firewall" zu finden.

Danach bekam ich weiterhin Mail Meldungen von dort eingetragenen IPs. Also googelte ich und stoß auf "ufw insert 1 deny from xxxxxxx to any"....

Weiterhin erhalte ich aber die mails von den Eingetragenen IPs. Warum?

Ich dachte der Server >nimmt den Hörer nicht mehr ab, wenn eine bestimmte IP anruft?<

Gibt es noch andere Möglichkeiten?

Grüße

Zoro

bringt es was, das mal per teamviewer zusammen anzuschauen?Klingt so, als wären all meine Antworten nichts nütze...

checke ich das mit sysmctl status proftpd.service?Dann ja

systemctl status proftpd.service
● proftpd.service - LSB: Starts ProFTPD daemon
   Loaded: loaded (/etc/init.d/proftpd)
   Active: active (running) since Tue 2017-07-25 18:30:59 CEST; 1h 50min ago
  Process: 3891 ExecStop=/etc/init.d/proftpd stop (code=exited, status=0/SUCCESS                                            )
  Process: 4060 ExecStart=/etc/init.d/proftpd start (code=exited, status=0/SUCCE                                            SS)
   CGroup: /system.slice/proftpd.service
           └─4067 proftpd: (accepting connections)

außerdem steht in der daemon.log kein fail.

in der auth.log steht nichts von ftp. Nur Cron und sshd

im ordner proftpd gibt es keine log dateien.

Im ordner var/log habe ich folgende dateien

alternatives.log aptitude btmp dmesg fail2ban.log fsck mail.info messages mysql.log proftpd syslog.2.gz wtmp

apache2 auth.log daemon.log dpkg.log faillog kern.log mail.log mysql mysql.log.1.gz syslog unattended-upgrades

apt boot.log debug exim4 fontconfig.log lastlog mail.warn mysql.err mysql.log.2.gz syslog.1 user.log

die "proftpd" ist leer.

da steht nicht mehr in der Auth.log datei. nur das ssh zeug. dachte das muss damit zu tun haben

was mir als erstes auffällt. es wird eine total andere IP angezeigt, als die die ich derzeit habe

Jul 25 18:11:43 serveradresse sshd[3586]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=>nicht meine ip<  user=root
Jul 25 18:11:45 serveradresse sshd[3586]: Failed password for root from >nicht meine ip< port 43915 ssh2
Jul 25 18:11:47 serveradresse sshd[3586]: Failed password for root from >nicht meine ip< port 43915 ssh2
Jul 25 18:11:49 serveradresse sshd[3586]: Failed password for root from >nicht meine ip< port 43915 ssh2
Jul 25 18:11:49 serveradresse sshd[3586]: Received disconnect from >nicht meine ip<: 11:  [preauth]
Jul 25 18:11:49 serveradresse sshd[3586]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=>nicht meine ip<  user=root
Jul 25 18:11:56 serveradresse sudo:     root : TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/nano auth.log
Jul 25 18:11:56 serveradresse sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)

warum geht der über Port 43915?

Zitat von thys

sind die PassivePorts in der proftpd.conf enabled ? Und im Firewall auch frei ?

Am Thema vorbei noch die ketzerische Frage, warum du eigentlich noch wheezy einsetzt - da läuft der LTS-Support nächstes Jahr eh aus ...

Gruss

Netcup bietet das so im Paket an. Als ich damals versuchte Froxlor selber zu installieren. Funzte es nicht.

Hab jetzt den Port 43915 in Firewall Freigegeben. Diesen Port kann ich NICHT in "PassivePort" in der proftpd.conf schreiben, da sonst proftpd nicht mehr restarten will.

ok. auth.log werde ich dann mal nach Feierabend checken. Ports hab ich mit dem hier getestet http://www.yougetsignal.com/tools/open-ports/ Wie kann ich den Port denn sonst noch testen?O.O

Zitat von de_bonner

Beschreib doch mal was Du überhaupt alles eingerichtet hast und wie die Umgebung konfiguriert ist, d.h. iptables .... und wie Du das Zertifikat eingerichtet hast.

Ich habe Froxlor und Debian als Image über das Servercontroll-zentrum von Netcup installiert. Iptables lassen port 22 und 21 rein und raus. Habe dies auch nochmal mit einem Online-tool getestet.

Ich hab leider gerade keinen Zugriff auf die Froxlor Administration, um die Commandos die ich verwendet habe zu kopieren. Ich hoffe es ist klar, welche einen dort angeboten werden und das keine Bugs an dieser Stelle existieren. Falls da aber doch irgendwas falsch gemacht werden kann, kann ich die Commandos gern noch gegen 17:30uhr nachreichen.

Ich bin in der Froxlor Administration also auf "System->Konfiguration"-glaube ich heißt das. Wo man dann die 3 Kategorien auswählen muss. Diese waren bei mir "Debian Wheezy", "Ftp-Server", "ProFTPd". Danach gibt Froxlor einen die Anleitung, wo auch das Commando für den Key vorgefertigt ist. Habe dann die ganzen Codes durch putty geschleudert. Kamen keine Fehler.

Kunde und Domain angelegt.

In Filezille Login mit serverip, und den Kundendaten aus Froxlor probiert.->Fehler

Ich habe auch davon gelesen das nicht DNS und ProFTPd installiert sein dürfte. Das ist auch nicht der Fall.

Zitat von de_bonner

Die auth.log liegt auch direkt in /var/log und zeichnet u.a. ungültige LogIn Versuche auf, allerdings muss dazu überhaupt ein LogIn durchgekommen sein, was bei einer fehlerhaften Verbindung nicht der Fall ist.

Filezilla zeigt mir den Fehler "GnuTLS error -110: The TLS connection was non-properly terminated".

Brauche ich eventuell noch ein Key für den Client? Warum kommt dieser Fehler? Vor der Verbindung gebe ich vom Client aus doch an, das ich dem Zertifikat vertraue...

Ich bin nach der Anleitung von Froxlor vorgegangen (Debian Wheezy->Ftp-Server->ProFTPd) certifikat wurde erstellt, aber login mit Filezilla Funktioniert leider nicht. Habe schon paar mal mit den >neuen Kunden< >neue Domain< anlegen, rumexperimentiert. Muss ich irgendwas noch konfigurieren?o,O

Ich las in Foren einiges über die auth.log etc. aber diese gibt es in meinem proftpd ordner nicht.

Sry. Für fehlende Infos, weis gerade nicht wo ich mich weiter lang hangeln könnte. Mein Kumpel der mir sonst immer half, ist derzeit im Urlaub und den will ich nur ungern mit so ein rumgerätsel belästigen.

Ich kenne es so von einen Bekannten, der sendet den Providern dann immer mails, das die server ihn belästigen. Ich denke allgemein wäre es auch gut eine Rückmeldung zu bekommen, wer da genau was versuchte...

hab gerade mal status von beiden abgerufen...
sendmail ist aktiv. Postfix ist garnicht installiert

dem Beispiel hier nach Scratching My Needs: Sendmail - How to test sending email, verbosely using Sendmail
habe ich es getestet. Versand hat funktioniert, aber es kam nichts an

mmmh komisch... seit gestern 20uhr macht er keine aufzeichnungen mehr

zuletzt steht sowas
imapd: Connection ip.........
imapd: Disconnected, ip............
(fail2ban wurde bereits gestoppt und neugestartet->brachte keine Änderung)

er hatte vorvorgestern auch mal was mit "sendmail" gemacht

Dec 18 17:23:15 v22016093787137161 sendmail[29378]: alias database /etc/mail/aliases rebuilt by root

in der datei /etc/mail/aliases steht überall nur root... muss das so?

ja, ist mir durch aus bewusst. Deswegen will ich den schnellstmöglich dicht machten
Diesem to do nach (How To Protect SSH with Fail2Ban on Ubuntu 14.04 | DigitalOcean)
ändert man destemail = root@localhost auf seine private email. und das kann der server von haus aus senden?
Mit confixx, war einfach so ein gedanke. Weil eben keine email kommt....

komisch ist halt, dass keine email kommt (wenn ich z.b. 3 mal versuche mich über den gesperrten ftp port einzulogen)... Hab das "action = $(action_)s" auf "action = $(action_mwl)s" geändert.
Ich habe einen Vserver, worauf ich das Image "froxlor, debian etc." draufinstalliert habe. ssh verschlüsselung ist bereits eingerichtet.

Hallo Leser,

ich habe mich jetzt mit iptables beschäftigt. Der Port wird geblockt, aber sendet mir keine email. Liegt das daran das ich standartmässig noch kein Confixx drauf habe?
Ich habe Angst, meine bereits installierte Software durch eine Confixx installation zu Schrotten, deswegen frage ich lieber mal nach. (Ich habe leider nur immer posts gefunden, die so geschrieben sind, als wäre confixx schon standartmäßig drauf. Ich habe aber keine URL oder dergleichen für ein Login o,O


Danke im Voraus

grüße

Zoro

mit WinSCP ist es genau das gleiche

hab es hinbekommen.
Alles gelöscht auch /bin/false und /var/www/upload -> ftp user neu angelegt und alles von neuen...

ok ein stück weiter gekommen

Ich hab /etc/proftpd/proftpd.conf angepasst wie hier beschrieben (https://www.digitalocean.com/c…pd-login-failing-with-530)
port und server angepasst


nun komme ich zwar mit "Anonymen User" rein, aber nicht über den ftpuser4...

Hallo lieber Leser!

Ich habe versucht ProFTP nach folgender Anleitung ein zu richten (FTP-Server unter Debian einrichten – Thomas-Krenn-Wiki) da die Anleitung mit den tests aufhört (die ich alle erfolgreich waren), nahm ich an jetzt kann ich mit Filezilla auf den server zugreifen.
leider kommt immer 530 Login incorrect. Was mache ich falsch?
Ich hab schon alles durchprobiert. Ich denke mal bei Filezilla muss ich im Filemanager Encyption Require explicit FTP over TLS wählen und dann unten eben den ftpuser plus das pw was ich eingeben musste....
Zertifikat wird auch gesendet und habe ich mit ja bestätigt->nach kommt pw falsch, wie alle male danach. auch pw ändern in Terminal verändert nichts..
jemand eine idee?

Danke im Voraus

Zitat von oliver.d

Das sollte man nicht mit einem Server im offenen Netz machen, sondern mit einer VM im geschützten, privaten Netzwerk zuhause!
Wenn du ein Flugzeug fliegen lernen willst, setzt du dich ja auch nicht direkt in einen A380 und fliegst mal so durch die Gegend zum Rumprobieren Zumindest hoffe ich das für dich

Gruß Oli

Also im Prinzip ist es leider schon so das ich eine kleine Maschine Irgendwo über ein Acker rumfliegen will. Also früher oder später will ich da schon einiges drüber laufen lassen (Websites und Datenbanken). Will auch mal weg von Zuhause, von UNI, bei eltern etc. weiter dran rumtüffteln können....
Hast du für mich denn tipps was wichtig ist?Also ich hab bisher nur den ssh login configuiert. Jetzt gerade spiele ich das image zu froxlor auf und hoffe das dies dann funzt.
Dann wurde mir noch zu fail2ban.org geraten. Und wenn es geht richte ich vielleicht noch eine whitelist ein damit nichts unbefugt drauf zugreift?

Grüße

Zoro

Zitat von de_bonner

Ich möchte ja nichts sagen, aber wenn Du noch nie einen Server eingerichtet hast, solltest Du dir unbedingt Hilfe holen, sonst ist der bereits nach 24 h in fremden Händen.

Danke für den Tip. Im Prinzip soll es auch nur erstmal zum Rumprobieren, lernen sein. um irgendwann zu verstehen wie was funzt. Ich mache auch ein Studium in die Richtung, nur leider fehlt mir die Praxis....
WEnn der Server in fremde Hände ist, kann ich ihn Notfalls eh "immerwieder" zurückholen von netcup oder nicht? (hab mich schon mit sicherheit bissel befasst, aber, weis leider nicht das der Server jetzt überall für Probleme bei der installation hat...)