iptables und vServer

Dieses Thema: "iptables und vServer" im Forum "Firewalls" wurde erstellt von cwstrummer, 25.06.2008.

  1. #1 cwstrummer, 25.06.2008
    cwstrummer

    cwstrummer Jungspund

    Dabei seit:
    12.04.2006
    Beiträge:
    17
    Zustimmungen:
    0
    hallo

    also ich hab einen debian vserver
    folgendes problem: alle paar tage attackiert eine bestimmte ip meinen ssh daemon auf port 22.

    ich wollte jetzt über iptables die ip komplett aussperren weil mein server durch die DOS attacken ziemlich ausgelastet ist. er kommt zwar nicht rein aber abwehren muss der server ja auch

    das problem ist dass ich durch den vserver die iptables nicht kontrollieren kann da die ja nur am host system verfügbar ist..soweit ich recherchiert habe..

    meine frage: gibts eine andere möglichkeit ips komplett auszusperren. schön wäre ja fail2ban gewesen aber das braucht auch die iptables!! kann ich irgendwie ein programm auf all tcp/ip ports legen dass die ip prüft und gegebenfalls abblockt oder dann zum wirklichen port weiterleitet??

    danke mal.
    lg
     
  2. #2 penguin007, 25.06.2008
    penguin007

    penguin007 Jungspund

    Dabei seit:
    02.01.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Hallo

    /etc/hosts.allow und /etc/hosts.deny sollten dein Problem lösen

    http://de.linwiki.org/wiki/Linuxfibel_-_Netzwerk_Grundlagen_-_Konfigurationsdateien


    mfg
     
  3. #3 cwstrummer, 25.06.2008
    cwstrummer

    cwstrummer Jungspund

    Dabei seit:
    12.04.2006
    Beiträge:
    17
    Zustimmungen:
    0
    hey super danke. ich war so fixiert auf iptables und firewall dass ich an diese möglichkeit gar nicht gedacht habe.

    ipadresse eingetragen udn auf einmal ging der server 3 mal schneller :) super!!
     
  4. #4 bitmuncher, 25.06.2008
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.167
    Zustimmungen:
    0
    SSH sollte man bei Servern idealerweise auch einfach auf einen anderen Port als den Standard-Port legen.
     
  5. JBR

    JBR Fichtenschonung

    Dabei seit:
    18.03.2007
    Beiträge:
    561
    Zustimmungen:
    0
    Ort:
    Nolop
    fail2ban sollte für dich ebenfalls interessant sein

    gib doch mal in eine Konsole iptables -L ein, dann siehst du ob iptables verfügbar ist.
     
  6. #6 penguin007, 25.06.2008
    penguin007

    penguin007 Jungspund

    Dabei seit:
    02.01.2005
    Beiträge:
    18
    Zustimmungen:
    0
    Bitte ich muss meine postinganzahl erhöhen seit 3 jahren dabei und nur 18 posts :)
     
  7. #7 cwstrummer, 25.06.2008
    Zuletzt bearbeitet: 25.06.2008
    cwstrummer

    cwstrummer Jungspund

    Dabei seit:
    12.04.2006
    Beiträge:
    17
    Zustimmungen:
    0
    danke für die schnellen antworten
    also fail2ban wäre perfekt hab ich schon auch ausprobiert aber ich kann bei iptables keine neuen einstellungen übernehmen. kommt immer die fehlermeldung:
    out of memory oder so. hab dann gegooglet und eben herausgefunden dass das bei vserver so ist. ich kann 30 einstellungen vergeben. nur denke ich mir das das eine sackgasse is. da kommt sicher jede woche eine neue ip adresse dazu. komm ich 30 wochn damit aus... das hat keine zukunft.

    iptables -L gibt folgendes aus

    Code:
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    ISPCP_INPUT  0    --  anywhere             anywhere
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    ISPCP_OUTPUT  0    --  anywhere             anywhere
    
    Chain ISPCP_INPUT (1 references)
    target     prot opt source               destination
               tcp  --  anywhere             anywhere            tcp dpt:imaps
               tcp  --  anywhere             anywhere            tcp dpt:pop3s
               tcp  --  anywhere             anywhere            tcp dpt:submission
               tcp  --  anywhere             anywhere            tcp dpt:smtp
               tcp  --  anywhere             anywhere            tcp dpt:imap2
               tcp  --  anywhere             anywhere            tcp dpt:pop3
               tcp  --  anywhere             anywhere            tcp dpt:https
               tcp  --  anywhere             anywhere            tcp dpt:www
    
    Chain ISPCP_OUTPUT (1 references)
    target     prot opt source               destination
               tcp  --  anywhere             anywhere            tcp spt:pop3s
               tcp  --  anywhere             anywhere            tcp spt:submission
               tcp  --  anywhere             anywhere            tcp spt:smtp
               tcp  --  anywhere             anywhere            tcp spt:imap2
               tcp  --  anywhere             anywhere            tcp spt:pop3
               tcp  --  anywhere             anywhere            tcp spt:https
               tcp  --  anywhere             anywhere            tcp spt:www
    
    
    sieht so aus als dürfte jeder auf die bekannten standard ports drauf.
    ist jede zeile eine einstellung?? gehe mal davon aus.

    bevor ich ssh auf port 1149 oder so lege muss ich ja iptables ändern oder? sonst komm ich ja nicht auf diesen port wegen iptables....
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    :) bin auch seit 2006 dabei mit 13 posts... mist du bist besser :D
     
  8. @->-

    @->- Guest

    Ist aber auf einem Vserver wegen fehlender iptables etwas schwierig. Aber in der Regel bieten auch Anbieter von Vserver eine Firewall an. Frage einfach mal bei deinem Anbieter.

    Den ssh Port verschieben ist natürlich eine Lösung, jedoch findet jemand der den Port wissen will diesen auch sehr schnell. Nutze auf alle Fälle einen ssh Key und deaktiviere den root login. Das bietet dann doch einen guten Schutz.

    Vom blockieren des ssh Ports kann ich dir nur abraten. Solltest du mal ein Problem mit dem Server haben kannst du dich ganz schnell selbst ausgesperrt haben.

    In diesem Sinne
     
  9. #9 tux_rules, 25.06.2008
    Zuletzt bearbeitet: 25.06.2008
    tux_rules

    tux_rules Eroberer

    Dabei seit:
    19.04.2007
    Beiträge:
    63
    Zustimmungen:
    0
    Ort:
    Wien
    sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
    ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
    wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

    oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

    sorry aber mit vserver kenne ich mich nicht aus.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
    ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
    wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

    oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

    sorry aber mit vserver kenne ich mich nicht aus.

    edit: darum erschlagt mich bitte nicht
     
  10. #10 cwstrummer, 25.06.2008
    cwstrummer

    cwstrummer Jungspund

    Dabei seit:
    12.04.2006
    Beiträge:
    17
    Zustimmungen:
    0
    @tux_rules

    ja stimmt. zuerst als normaler user anmelden und dann mit "su" auf root wechseln. ist sicherer. den ssh zugang darf man am vserver eh nicht deaktivieren. dann geht ja nichts mehr :)
    aber man kann den ssh daemon auf einen anderen port stellen sodass es nicht so ganz offensichtlich ist dass hier auf port 22 ssh läuft.

    vserver haben auch den vorteil gegenüber dedizierten servern dass diese viiiel billger sind. dafür halt performance nachteile!
     
  11. #11 tux_rules, 25.06.2008
    tux_rules

    tux_rules Eroberer

    Dabei seit:
    19.04.2007
    Beiträge:
    63
    Zustimmungen:
    0
    Ort:
    Wien
    asso, na wieder mal was dazu gelernt.
     
  12. @->-

    @->- Guest

    Nicht wirklich, es kommt ganz auf den Anbieter an. Ich habe auch 1 Jahr lang einen Vserver bei dem Anbieter Netcup kostet mich 28 Euro im Monat und die versprochene Leistung steht auch wirklich zu Verfügung. Sogar noch mehr. Schneller als mein alter root bei s4y welcher eigentlich schneller sein sollte (von den Hardwaredaten).

    Für eine normale Seite ist ein Webspace aber meiner Meinung nach die bessere Wahl. Ein normaler root Server welchen sich ein normalsterblicher Leisten kann wird niemals so viel Leistung haben wie z.B bei einem guten Webhosting Paket zur verfügung steht. Mit einem Flexiblen Anbieter kann eigentlich fast alles realisiert werden.

    Vserver sind aber sehr beliebt weil diese meistens günstiger sind als nur Webspace (auf den ersten Blick). Aber die meisten enden ja wie bekannt als Spawnschleuder.

    In diesem Sinne
     
  13. #13 bitmuncher, 25.06.2008
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.167
    Zustimmungen:
    0
    @->-: Was definierst du als "Normalsterblicher"? Es gibt schon komplette Webserver- und DB-Cluster ab 2000Euro/Monat. Sicherlich nicht vergleichbar mit einem einzelnen Rootserver, aber durchaus im Rahmen des Möglichen für Normalsterbliche nach meiner Definition.
     
  14. #14 cwstrummer, 25.06.2008
    cwstrummer

    cwstrummer Jungspund

    Dabei seit:
    12.04.2006
    Beiträge:
    17
    Zustimmungen:
    0
    nagut schon ein bisschen off topic oder ;)

    egal. den vserver werd ich nicht ewig behalten. sobald ich mehr kunden habe werde ich mir einen richtigen server zulegen! wo ich dann wirklich gscheit mit iptables arbeitn kann!

    ich hab nämlich auch schon das nächste problem. möchte meine logfiles mit epylog auswerten..lässt sich aber nicht starten da anscheinend nicht so viele thread gleichzeitig laufen können. kA was es da schon wieder hat. da werd ich aber ein neues topic aufmachen. danke nochmal für eure hilfe

    ich hab noch eine grundsätzliche frage. iptables hackt anscheinend sehr weit unten im betriebssystem ein damit es alle pakete abfangen kann. kann man da kein andres programm draufstülpen das vielleicht auf auf einen vserver rennt.. oder selbst etwas programmieren? kann ja nicht soo schwer sein oder?
     
  15. #15 bitmuncher, 25.06.2008
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.167
    Zustimmungen:
    0
    IPTables funktioniert auf einem VServer nicht, weil die Kernel-Module nicht in der VM geladen werden können. Im Normalfall liegt das daran, weil das Host-System bereits eine Firewall hat und weil das Gast-System keinen direkten Zugriff auf die Netzwerk-Devices hat, sondern virtuelle Devices nutzt, die lediglich ein "begrenztes" Interface zum Host-System haben.

    Es ist also völlig egal welches Programm du da "draufstülpst". Die Begrenzung durch den Kernel bleibt trotzdem.
     
Thema:

iptables und vServer

Die Seite wird geladen...

iptables und vServer - Ähnliche Themen

  1. iptables Problem auf Linux vServer

    iptables Problem auf Linux vServer: Hallo, mein iptables will irgendwie nicht loggen. Hier ist meine /etc/iptables.rules: # Generated by iptables-save v1.4.4 on Sat Aug 27...
  2. iptables blocke nur von bestimmter ip

    iptables blocke nur von bestimmter ip: Hallo, ich habe ein kleines Heimnetzwerk mit einem Router unter openWRT. Dort kann ich mittels iptables -I OUTPUT -p udp --dport 53 -m...
  3. Opensuse iptables (yast FW) + MiniUPnPd

    Opensuse iptables (yast FW) + MiniUPnPd: Hallo zusammen, ich habe ja meine OpenSuse Box momentan als Gateway eingerichtet und der Router dient nur als Access Point für alle Geräte...
  4. IPtables

    IPtables: Hallo Leute, bin zurzeit dabei, einen Proxy aufzusetzen, der die IP meines Webservers vetuschen soll. Es läuft eig. schon alles super, nur eine...
  5. iptables synproxy

    iptables synproxy: Hallo liebe Gemeinde, Bin für jede Hilfe dankbar! Lg, Nicki