Ubuntu Server und die Default-Route

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von shivarulez, 05.01.2006.

  1. #1 shivarulez, 05.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    Hi all.

    Hab mal wieder ein kleines Problem. Mein Server steht im Moment in einem Rechenzentrum in Frankfurt. Am Anfang war das Problem das der Server nicht erreichbar war, weder per anpingen noch per ssh/ftp. Habe dann dem Support gemailt und der hat mir dann die fehlende "Default-Route" eingestellt. Jetzt ist der Server erreichbar, nur das Problem ist das der Support gesagt hat, wenn ich nen reboot mache die Default-Route wieder weg ist und somit der Server nicht mehr von außen zu erreichen ist, da sie nur "manuell" gesetzt wurde.

    Könnt ihr mir bitte sagen bzw. erklären wie ich im System die Default-Route dauerhaft festlege??

    Kann ich das auch per Webmin machen???

    Vielen Dank schon mal im Voraus für eure Hilfe

    gruß
    shiva
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Hihi, die simpelste Loesung waere wohl, den Befehl, den die benutzt haben aus der History rauszusuchen und am Ende der /etc/init.d/rc einzufuegen. Normalerweise sollte das aber auch ueber die Netzwerk-Einstellungen gehen.
     
  4. #3 shivarulez, 05.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    ok, den Befehl habe ich jetzt

    Code:
    route add default gw XX.XXX.XXX.X
    Code:
    esac
                    last_step=$(($last_step + 1))
                    # 50% of progress for rcS, 50% for our ultimate runlevel
                    progress=$(($last_step * 50 / $num_steps + 50))
                    if type usplash_write >/dev/null 2>&1; then
                        usplash_write "PROGRESS $progress" || true
                    fi
            done
      fi
    # eof /etc/init.d/rc
    
    Wo muss ich genau den Befehl einfügen?? Zwischen fi und # eof /etc/inti.d/rc ???
     
  5. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Jep, '# eof...' ist ja nur ein Kommentar, also entweder unter das 'fi' oder einfach als letzte Zeile (abschliessende Leerzeile nicht vergessen). Diese Loesung ist sicher nicht professionell, aber simpel und schnell umzusetzen. Du kannst natuerlich auch einfach die Datei /etc/network/interfaces anpassen und dort den Default-Gateway fuer deine Netzwerkkarte setzen. Was anderes tut der Befehl ja auch nicht. Der Eintrag muesste dann wie folgt aussehen:

    Code:
    auto eth0
    iface eth0 inet static
            address <deine-serverip>
            netmask <deine-netmask>
            gateway <deine-gateway-ip-aus-dem-route-befehl>
    
    Natuerlich die entsprechenden Werte eintragen. ;)

    PS: Rootserver ohne serielle Konsole sind immer Mist. :)
     
  6. #5 shivarulez, 06.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    Danke für deine Hilfe, theton.

    Eine Frage habe ich noch. Welche offene Ports kann ich am Server schließen?

    Code:
    PORT      STATE SERVICE
    21/tcp    open  ftp
    22/tcp    open  ssh
    139/tcp   open  netbios-ssn
    445/tcp   open  microsoft-ds
    631/tcp   open  ipp
    1723/tcp  open  pptp
    10000/tcp open  snet-sensor-mgmt
    32770/tcp open  sometimes-rpc3
    32771/tcp open  sometimes-rpc5
    Die Ports 21, 22 und 10000 sind klar, die brauch ich bzw. brauch ich noch.
    Aber die restlichen Ports sagen mir gar nix!!
    Brauch ich die???
    Auf dem Server sollen Gameserver und Homepages laufen...

    gruß
    shiva
     
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Nach dem, was ich sehen, brauchst du die nicht. Hier ein kleines Firewall-Script, dass du mit dem Parameter 'start' aufrufen kannst um eine grundlegende Firewall aufzubauen, die nur die Ports 21, 22, und 10000 offen laesst:

    Code:
    #!/bin/bash
    
    echo "Starting firewall"
    
    LOGLIMIT=20
    IPTABLES=/sbin/iptables
    
    case "$1" in
    start)
            # alle alten Regeln entfernen
            echo "Loesche alte Regeln"
            $IPTABLES -F
            $IPTABLES -X
            $IPTABLES -t nat -F
            ### ERSTELLE NEUE KETTEN ###
            # Chain to log and reject a port by ICMP port unreachable
            $IPTABLES -N LOGREJECT
            $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
            $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
    
            ### PROC MANIPULATION ###
            # auf Broadcast-Pings nicht antworten
            echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
            # halt die Klappe bei komischen ICMP Nachrichten
            echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
            # Kicke den ganzen IP Spoofing Shit
            # (Source-Validierung anschalten)
            echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
            # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
            echo 61 > /proc/sys/net/ipv4/ip_default_ttl
            # sende RST-Pakete wenn der Buffer voll ist
            echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
            # warte max. 30 secs auf ein FIN/ACK
            echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
            # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
            # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
    
            ### MAIN PART ###
            $IPTABLES -P INPUT DROP
            $IPTABLES -P FORWARD DROP
            $IPTABLES -P OUTPUT ACCEPT
            $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
            $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
            # im Loopback koennen wir jedem trauen
            $IPTABLES -A INPUT -i lo -j ACCEPT
            # erlaube Pings
            $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
            # erlaube SSH
            $IPTABLES -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT
            # erlaube FTP
            $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
            # erlaube Webmin
            $IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
            # Alle TCP Packete, die bis hier hin kommen, werden
            # geloggt und rejected
            # Der Rest wird eh per Default Policy gedroppt...
            $IPTABLES -A INPUT -p tcp -j LOGREJECT
            $IPTABLES -A FORWARD -p tcp -j LOGREJECT
            ;;
    *)
            echo "Usage: `basename $0` {start}" >&2
            exit 64
            ;;
    esac
    
    exit 0
    
    Nachtrag: Sobald dein Webserver eingerichtet ist, kannst du wie in diesem Beispiel fuer FTP auch Port 80 freigeben und fuer den Gameserver musst du natuerlich auch den Port freischalten, den der benutzt.
     
  8. #7 Schlubber, 06.01.2006
    Schlubber

    Schlubber Aurox ,Win XP User

    Dabei seit:
    14.12.2004
    Beiträge:
    167
    Zustimmungen:
    0
    Ort:
    /home/schlubber
    ich würde noch die ports raussuchen die die spiele benützen und da dann auch noch ins firewall skript einfügen denn sonst wirst dann wieder probleme haben :)
     
  9. #8 shivarulez, 06.01.2006
    Zuletzt bearbeitet: 06.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    Danke für das script. Aber ein bisschen Angst wenn ich das Script ausführe dass ich mich evtl. "aussperre" bzw. die Firewall irgendwie kaputt mache :)

    Wollte den Dienst eigentlich deaktivieren und nicht durch ne Firewall verhindern...

    z.B.

    Code:
    update-inetd --remove 
    
    
    p15145775:/# update-inetd --remove daytime
    p15145775:/# update-inetd --remove telnet
    p15145775:/# update-inetd --remove time
    p15145775:/# update-inetd --remove finger
    p15145775:/# update-inetd --remove talk
    p15145775:/# update-inetd --remove ntalk
    p15145775:/# update-inetd --remove ftp
    p15145775:/# update-inetd --remove discard
    p15145775:/# update-inetd --remove smtp
    
    WARNING!!!!!! /etc/inetd.conf contains multiple entries for
    the `discard' service. You're about to remove these entries.
    Do you want to continue? [n] y
    
    Ok, I'll stop ...
    Code:
    139/tcp   open  netbios-ssn		samba
    445/tcp   open  microsoft-ds		drucker
    631/tcp   open  ipp			Cups Jobverwaltung
    1723/tcp  open  pptp			VNP Server
    32770/tcp open  sometimes-rpc3
    32771/tcp open  sometimes-rpc5
    Stimmt das in etwa was ich da über die Ports/Dienste geschrieben habe??
    Kann mir bitte wer erklären für was die port 32770 und 32771 gut sind??
     
  10. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Mit dem Firewall-Skript bleibt mindestens deine aktuelle SSH-Verbindung offen. Dafuer sorgen die Zeilen

    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    Diese besagen soviel wie alle Verbindungen, die als Forward oder Input gekommen sind und bereits existieren, sowie die Verbindungen, die zu diesen gehoeren, sollen akzeptiert werden. Ich benutze das Skript auf meinen Rootservern um nach aussen nur die Services zuzulassen, die ich zulassen will.
     
  11. #10 shivarulez, 07.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    Gut, das hört sich doch sehr vernüftig an. Wenn du mir noch sagt wie ich das Script ausführe bzw. mit welchem Programm?
     
  12. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Einfach die Datei ausfuehrbarmachen und dann mit './scriptname start' aufrufen, alternativ:

    bash scriptname.sh start

    Diesen Startparameter habe ich eingebaut, damit man es auch beim Booten starten kann. Einfach nach /etc/init.d kopieren, ausfuehrbar machen und Links in die entsprechenden Runlevel setzen.
     
  13. #12 shivarulez, 07.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    In welchem Verzeichnis muss ich das Script uploaden??
     
  14. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Wenn du es als Start-Skript benutzen willst, dann nach /etc/init.d und entsprechend in die Runlevel verlinken. Willst du es als "normalen" Befehl ausfuehren koennen, dann nach /usr/sbin o.ae. Dann einfach mal ein

    chmod root:root /usr/sbin/skriptname
    chmod ug+x /usr/sbin/skriptname

    und schon kannst du es mit

    skriptname start

    aufrufen.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 shivarulez, 07.01.2006
    shivarulez

    shivarulez Mitglied

    Dabei seit:
    03.11.2005
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    Bayern
    Wie mach aus dem Text ein Script?? Den Text in ein .txt Dokument kopieren und dann umbenennen oder?
     
  17. #15 SkydiverBS, 07.01.2006
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    Hallo!

    Code:
    139/tcp   open  netbios-ssn		samba
    445/tcp   open  microsoft-ds		drucker
    631/tcp   open  ipp			Cups Jobverwaltung
    1723/tcp  open  pptp			VNP Server
    32770/tcp open  sometimes-rpc3
    32771/tcp open  sometimes-rpc5
    Von den Ports 32770 und 32771 habe ich auch noch nichts gehört, aber bei einer Google-Suche bin ich folgenden Foren-Beitrag gestoßen: http://ubuntuforums.org/archive/index.php/t-77684.html
    Du scheinst also nicht der einzige zu sein bei dem die Ports offen sind.

    Gib doch mal in der Konsole auf deinem Server 'netstat -apn --ip' ein und poste die Ausgabe hier rein. Mal sehen welche Programme hinter den Ports stecken.
     
Thema:

Ubuntu Server und die Default-Route

Die Seite wird geladen...

Ubuntu Server und die Default-Route - Ähnliche Themen

  1. Mein Server Ubuntu 14.04.3 LTS versendet spam (postfix/dovecot)

    Mein Server Ubuntu 14.04.3 LTS versendet spam (postfix/dovecot): Mir wurde gerade von meinem Hoster mitgeteilt, daß mein Server bai abusix.org geblacklistet wurde. Wenn ich in die logs schaue, so sehe ich z.B.:...
  2. Ubuntu 14.04.1 Server randomly rebooting

    Ubuntu 14.04.1 Server randomly rebooting: Hi Guys, ich habe mit einem Ubuntu Server ein Problem, welche immer random neu startet. Da ist die aktuelle Version von Ubuntu installiert...
  3. Ubuntu Cloud auf HP Servern

    Ubuntu Cloud auf HP Servern: HP hat ein Referenzpapier zum Aufsetzen einer Ubuntu Cloud mittels OpenStack auf HP Servern herausgegeben. Weiterlesen...
  4. Datensicherung von Ubuntu 12.04 Server über LAN auf Windows 8 Rechner

    Datensicherung von Ubuntu 12.04 Server über LAN auf Windows 8 Rechner: Samba4 ist auf ubuntu 12.04 Server als AD DC konfiguriert. Auf Samba 4 gibt es auch 8 Freigabeordner, die von mehreren Windowsbenutzern verwendet...
  5. Problem mit Ubuntu/openVPN-Server hinter Router

    Problem mit Ubuntu/openVPN-Server hinter Router: [SOLVED] Problem mit Ubuntu/openVPN-Server hinter Router Hallo Unix-Border! Schon mal vorwerg: ich bin nicht gerade der VPN-Wisser, also habt...