PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables und vServer



cwstrummer
25.06.2008, 12:59
hallo

also ich hab einen debian vserver
folgendes problem: alle paar tage attackiert eine bestimmte ip meinen ssh daemon auf port 22.

ich wollte jetzt über iptables die ip komplett aussperren weil mein server durch die DOS attacken ziemlich ausgelastet ist. er kommt zwar nicht rein aber abwehren muss der server ja auch

das problem ist dass ich durch den vserver die iptables nicht kontrollieren kann da die ja nur am host system verfügbar ist..soweit ich recherchiert habe..

meine frage: gibts eine andere möglichkeit ips komplett auszusperren. schön wäre ja fail2ban gewesen aber das braucht auch die iptables!! kann ich irgendwie ein programm auf all tcp/ip ports legen dass die ip prüft und gegebenfalls abblockt oder dann zum wirklichen port weiterleitet??

danke mal.
lg

penguin007
25.06.2008, 13:03
hallo

also ich hab einen debian vserver
folgendes problem: alle paar tage attackiert eine bestimmte ip meinen ssh daemon auf port 22.

ich wollte jetzt über iptables die ip komplett aussperren weil mein server durch die DOS attacken ziemlich ausgelastet ist. er kommt zwar nicht rein aber abwehren muss der server ja auch

das problem ist dass ich durch den vserver die iptables nicht kontrollieren kann da die ja nur am host system verfügbar ist..soweit ich recherchiert habe..

meine frage: gibts eine andere möglichkeit ips komplett auszusperren. schön wäre ja fail2ban gewesen aber das braucht auch die iptables!! kann ich irgendwie ein programm auf all tcp/ip ports legen dass die ip prüft und gegebenfalls abblockt oder dann zum wirklichen port weiterleitet??

danke mal.
lg

Hallo

/etc/hosts.allow und /etc/hosts.deny sollten dein Problem lösen

http://de.linwiki.org/wiki/Linuxfibel_-_Netzwerk_Grundlagen_-_Konfigurationsdateien


mfg

cwstrummer
25.06.2008, 13:19
hey super danke. ich war so fixiert auf iptables und firewall dass ich an diese möglichkeit gar nicht gedacht habe.

ipadresse eingetragen udn auf einmal ging der server 3 mal schneller :) super!!

bitmuncher
25.06.2008, 13:32
SSH sollte man bei Servern idealerweise auch einfach auf einen anderen Port als den Standard-Port legen.

JBR
25.06.2008, 14:33
fail2ban sollte für dich ebenfalls interessant sein

gib doch mal in eine Konsole iptables -L ein, dann siehst du ob iptables verfügbar ist.

penguin007
25.06.2008, 15:11
hey super danke. ich war so fixiert auf iptables und firewall dass ich an diese möglichkeit gar nicht gedacht habe.

ipadresse eingetragen udn auf einmal ging der server 3 mal schneller :) super!!

Bitte ich muss meine postinganzahl erhöhen seit 3 jahren dabei und nur 18 posts :)

cwstrummer
25.06.2008, 15:18
danke für die schnellen antworten
also fail2ban wäre perfekt hab ich schon auch ausprobiert aber ich kann bei iptables keine neuen einstellungen übernehmen. kommt immer die fehlermeldung:
out of memory oder so. hab dann gegooglet und eben herausgefunden dass das bei vserver so ist. ich kann 30 einstellungen vergeben. nur denke ich mir das das eine sackgasse is. da kommt sicher jede woche eine neue ip adresse dazu. komm ich 30 wochn damit aus... das hat keine zukunft.

iptables -L gibt folgendes aus



Chain INPUT (policy ACCEPT)
target prot opt source destination
ISPCP_INPUT 0 -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ISPCP_OUTPUT 0 -- anywhere anywhere

Chain ISPCP_INPUT (1 references)
target prot opt source destination
tcp -- anywhere anywhere tcp dpt:imaps
tcp -- anywhere anywhere tcp dpt:pop3s
tcp -- anywhere anywhere tcp dpt:submission
tcp -- anywhere anywhere tcp dpt:smtp
tcp -- anywhere anywhere tcp dpt:imap2
tcp -- anywhere anywhere tcp dpt:pop3
tcp -- anywhere anywhere tcp dpt:https
tcp -- anywhere anywhere tcp dpt:www

Chain ISPCP_OUTPUT (1 references)
target prot opt source destination
tcp -- anywhere anywhere tcp spt:pop3s
tcp -- anywhere anywhere tcp spt:submission
tcp -- anywhere anywhere tcp spt:smtp
tcp -- anywhere anywhere tcp spt:imap2
tcp -- anywhere anywhere tcp spt:pop3
tcp -- anywhere anywhere tcp spt:https
tcp -- anywhere anywhere tcp spt:www



sieht so aus als dürfte jeder auf die bekannten standard ports drauf.
ist jede zeile eine einstellung?? gehe mal davon aus.

bevor ich ssh auf port 1149 oder so lege muss ich ja iptables ändern oder? sonst komm ich ja nicht auf diesen port wegen iptables....
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Bitte ich muss meine postinganzahl erhöhen seit 3 jahren dabei und nur 18 posts :)

:) bin auch seit 2006 dabei mit 13 posts... mist du bist besser :D

@->-
25.06.2008, 15:24
fail2ban sollte für dich ebenfalls interessant sein
Ist aber auf einem Vserver wegen fehlender iptables etwas schwierig. Aber in der Regel bieten auch Anbieter von Vserver eine Firewall an. Frage einfach mal bei deinem Anbieter.

Den ssh Port verschieben ist natürlich eine Lösung, jedoch findet jemand der den Port wissen will diesen auch sehr schnell. Nutze auf alle Fälle einen ssh Key und deaktiviere den root login. Das bietet dann doch einen guten Schutz.

Vom blockieren des ssh Ports kann ich dir nur abraten. Solltest du mal ein Problem mit dem Server haben kannst du dich ganz schnell selbst ausgesperrt haben.

In diesem Sinne

tux_rules
25.06.2008, 15:33
sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

sorry aber mit vserver kenne ich mich nicht aus.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

sorry aber mit vserver kenne ich mich nicht aus.

edit: darum erschlagt mich bitte nicht

cwstrummer
25.06.2008, 15:45
@tux_rules

ja stimmt. zuerst als normaler user anmelden und dann mit "su" auf root wechseln. ist sicherer. den ssh zugang darf man am vserver eh nicht deaktivieren. dann geht ja nichts mehr :)
aber man kann den ssh daemon auf einen anderen port stellen sodass es nicht so ganz offensichtlich ist dass hier auf port 22 ssh läuft.

vserver haben auch den vorteil gegenüber dedizierten servern dass diese viiiel billger sind. dafür halt performance nachteile!

tux_rules
25.06.2008, 15:47
asso, na wieder mal was dazu gelernt.

@->-
25.06.2008, 17:41
vserver haben auch den vorteil gegenüber dedizierten servern dass diese viiiel billger sind. dafür halt performance nachteile!

Nicht wirklich, es kommt ganz auf den Anbieter an. Ich habe auch 1 Jahr lang einen Vserver bei dem Anbieter Netcup kostet mich 28 Euro im Monat und die versprochene Leistung steht auch wirklich zu Verfügung. Sogar noch mehr. Schneller als mein alter root bei s4y welcher eigentlich schneller sein sollte (von den Hardwaredaten).

Für eine normale Seite ist ein Webspace aber meiner Meinung nach die bessere Wahl. Ein normaler root Server welchen sich ein normalsterblicher Leisten kann wird niemals so viel Leistung haben wie z.B bei einem guten Webhosting Paket zur verfügung steht. Mit einem Flexiblen Anbieter kann eigentlich fast alles realisiert werden.

Vserver sind aber sehr beliebt weil diese meistens günstiger sind als nur Webspace (auf den ersten Blick). Aber die meisten enden ja wie bekannt als Spawnschleuder.

In diesem Sinne

bitmuncher
25.06.2008, 20:11
@->-: Was definierst du als "Normalsterblicher"? Es gibt schon komplette Webserver- und DB-Cluster ab 2000Euro/Monat. Sicherlich nicht vergleichbar mit einem einzelnen Rootserver, aber durchaus im Rahmen des Möglichen für Normalsterbliche nach meiner Definition.

cwstrummer
25.06.2008, 20:22
nagut schon ein bisschen off topic oder ;)

egal. den vserver werd ich nicht ewig behalten. sobald ich mehr kunden habe werde ich mir einen richtigen server zulegen! wo ich dann wirklich gscheit mit iptables arbeitn kann!

ich hab nämlich auch schon das nächste problem. möchte meine logfiles mit epylog auswerten..lässt sich aber nicht starten da anscheinend nicht so viele thread gleichzeitig laufen können. kA was es da schon wieder hat. da werd ich aber ein neues topic aufmachen. danke nochmal für eure hilfe

ich hab noch eine grundsätzliche frage. iptables hackt anscheinend sehr weit unten im betriebssystem ein damit es alle pakete abfangen kann. kann man da kein andres programm draufstülpen das vielleicht auf auf einen vserver rennt.. oder selbst etwas programmieren? kann ja nicht soo schwer sein oder?

bitmuncher
25.06.2008, 20:35
IPTables funktioniert auf einem VServer nicht, weil die Kernel-Module nicht in der VM geladen werden können. Im Normalfall liegt das daran, weil das Host-System bereits eine Firewall hat und weil das Gast-System keinen direkten Zugriff auf die Netzwerk-Devices hat, sondern virtuelle Devices nutzt, die lediglich ein "begrenztes" Interface zum Host-System haben.

Es ist also völlig egal welches Programm du da "draufstülpst". Die Begrenzung durch den Kernel bleibt trotzdem.