Beiträge von Gunah

man muss aber beachten tinc = verschlüsselt, VLAN = unverschlüsselt

klar es ist nur im NetCup Netz unverschlüsselt sollte man aber dennoch beachten.

Hecke29 und mlohr

naja Overkill würde ich nicht sagen, das vorhaben kann ich an sich schon verstehen.

Es wird einfacher die Fehler / Sicherheitsrisiko durch die Restriktion verkleinert.

Sprich Sicherheitslücken Patchen etc.

klar geht durch Docker und co vieles einfacher als vorher, aber man kann so für extra Sicherheit sorgen.

Komfort steht ja immer im Konflikt mit Sicherheit

bezüglich "Updates und VLAN", du kannst doch nen Proxy welcher im Netz is installieren und die Updates über diesen ziehen?

Parallels ist da auch nicht besser, hatten zum testen bei einem Anbieter nen Server geholt, und zum installieren war da nur Debian Jessie (8).

Ok haben wir so Debian Stretch (9) drauf gehauen, CD bootet nicht. hmm okay. Jessie CD auch nicht

andere Live CDs haben sich ebenso geweigert.

Ok dann Jessie installieren lassen, upgrade auf "Stretch", System startet nicht.

Die Treiber mussten erst gepatcht werden, damit das System damit läuft -.-

https://gist.github.com/rkitover/3c524cfe7c81a4a0bee286acd15f3714

https://www.heise.de/security/…er-Datenleck-4210282.html

So wird es vermutlich gerade bei Intel laufen?

Zitat

99 little bugs in the code
99 little bugs
Take one down, patch it around
117 little bugs in the code

Welche Meldung wird angezeigt und was für Geräte sind es?

hab zuhause ne Bigfoot von Quantum liegen, glaube 500 MB oder so müsste die haben.

Zitat von mainziman

was anderes:

was ist in diesem Skript hier die besserer Variante,

um zu erkennen, daß Internet-connectivity besteht?

Bash

#!/bin/sh

IP=1.1.1.1
URL=http://www.google.com/

if [[ "$(ping -c 1 $IP | grep '100% packet loss' )" != "" ]]
then
     echo "Internet isn't present"
else
     echo "Internet is present"
fi

if curl --silent --head $URL |
     egrep "20[0-9] Found|30[0-9] Found" >/dev/null
then
     echo "Internet isn't present"
else
     echo "Internet is present"
fi

Alles anzeigen

Finde es zwar nicht, aber hatte mal nen Script gebaut, welches es erkennt. hatte ping auf die DNS von Google und co drin, dann noch nen paar Große Newsseiten.

Damit man die Fehlerquote eingrenzen kann, ob es wirklich der Fall ist.

Erst hatte ich nen ping auf Seiten / Dienste von mir und dann auf andere, wie Google so dass man nicht "Fehlalarme" bekommt.

weiss einer ob die Verbindung von NetCup/Anexia zu EWE-Tel über einen Peering Point geht, oder direkt ist?

Zitat von H6G

ja.

Aber zwischen Hart Ablehnen und Annehmen gibt es ein Softstate: könnte Spam sein, könnte aber auch legitim sein. Und in diesem Bereich wird dann evtl. ein Greylisting durchgeführt. Du musst natürlich auch an False Positives denken.

ist denke ich auch das Beste. müsste ich nochmal überarbeiten bei mir dann.

Häufig fällt mir auf, dass einige Firmen es nicht schaffen die Mail Server geschaut zu verwalten, da sind manche Spammer sogar besser.

Geht vom Fehlenden PTR über andere Themen, wie kein TLS usw.

Beliebt sind vor allem:

Zumindest laut Log:

• admin@
• noreplay@
• 0ainfo@
• hp_printer@

Auch ich habe extra Mail Addis für einige Läden, die ich abschalten musste, weil dort Spam bis zum geht nicht mehr rein kommt.

um das Problem mit dem Greylist aus dem Weg zu gehen, habe ich mir ne eigen rbldnsd whitelist gebaut, wie auch Blacklist

mit 3D Secure oder Verify by VISA liegt die Verantwortung mehr beim Kunden, also Besitzer der Kreditkarte

ohne ist der Händler mehr Verantwortlich und bekommt beim Betrug ggf. kein Cent.

ssllabs liefert sowieso komischewerte ab und an.

Neulich nen TLSv1.3 test gemacht, laut dennen war auf meinem Server kein TLSv1.3.

openssl s_client -connect xxx.xxx.gunah.eu:443 -tls1_3
[...]
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
[...]

hast du die route mal statisch gesetzte was dann passiert?

wie voja sagt. ggf. auch mit iptables nachhelfen

iptables -t nat -A POSTROUTING -o tunDeviceWelchesSourceIstALsoTincd -j MASQUERADE

Zitat von killerbees19

Naja, ein eigenes VLAN pro Kunde wird als Preisbrecher nicht drinnen sein. Aber kein Routing ins öffentliche Netz, nur RZ intern würde gut klingen. Vielleicht hast Du es eh so gemeint, das kam mit dem Begriff VLAN nicht ganz durch.

Zitat von [netcup] Kai

Das wird nicht funktionieren, da zumindest ein Uplink Richtung unseren Installationsservern, Rettungssystem etc. gegeben sein muss. Der zugriff darauf läuft nur über die öffentlichen IP-Adressen.

yep es war nur Intern im NetCup Netz gemeint.

Zitat von killerbees19

Edit: IPv6-Only wäre natürlich auch eine nette Sache. Dem Vorschlag schließe ich mich gerne an. Ob das aus Kundensicht schon massentauglich ist, ist eine andere Frage...

Oder halt VLAN Only, sodass die Server untereinander erreichbar wäre?

war am Sonntag gegen 3 Uhr was mit dem Netzwerk?

Monitoring hat wegen hoher Latenz auf mehreren Geräte angeschlagen.

Zitat von mainziman

anderes Thema:

hatte dieser Tage festgestellt, daß logrotate mir ins Handwerk pfuscht;

er rotiert am Sonntag in der Nacht den Logfile so zwischen 03:00 und 04:00;

und am Montag, fehlt genau der Teil im Logfile welcher von 00:00 bis zum Zeitpunkt von logrotate wegrotiert wurde;

wie bekommt man das am besten hin?

Alles anzeigen

stell einfach logroate auf delaycompress, da scheinbar einen aktuellen Schreibzugriff gibt.

So landet es zumindest noch in der Zeit in "log.1".

Wichtig ist auch, dass du irgendwie durch logrorate veranlasst wird, dass die Datei geschlossen wird.

Sonst wird fleißig weiter in log.1 geschrieben.