iptables und vServer

C

cwstrummer

Jungspund
hallo

also ich hab einen debian vserver
folgendes problem: alle paar tage attackiert eine bestimmte ip meinen ssh daemon auf port 22.

ich wollte jetzt über iptables die ip komplett aussperren weil mein server durch die DOS attacken ziemlich ausgelastet ist. er kommt zwar nicht rein aber abwehren muss der server ja auch

das problem ist dass ich durch den vserver die iptables nicht kontrollieren kann da die ja nur am host system verfügbar ist..soweit ich recherchiert habe..

meine frage: gibts eine andere möglichkeit ips komplett auszusperren. schön wäre ja fail2ban gewesen aber das braucht auch die iptables!! kann ich irgendwie ein programm auf all tcp/ip ports legen dass die ip prüft und gegebenfalls abblockt oder dann zum wirklichen port weiterleitet??

danke mal.
lg
 
hallo

also ich hab einen debian vserver
folgendes problem: alle paar tage attackiert eine bestimmte ip meinen ssh daemon auf port 22.

ich wollte jetzt über iptables die ip komplett aussperren weil mein server durch die DOS attacken ziemlich ausgelastet ist. er kommt zwar nicht rein aber abwehren muss der server ja auch

das problem ist dass ich durch den vserver die iptables nicht kontrollieren kann da die ja nur am host system verfügbar ist..soweit ich recherchiert habe..

meine frage: gibts eine andere möglichkeit ips komplett auszusperren. schön wäre ja fail2ban gewesen aber das braucht auch die iptables!! kann ich irgendwie ein programm auf all tcp/ip ports legen dass die ip prüft und gegebenfalls abblockt oder dann zum wirklichen port weiterleitet??

danke mal.
lg

Hallo

/etc/hosts.allow und /etc/hosts.deny sollten dein Problem lösen

http://de.linwiki.org/wiki/Linuxfibel_-_Netzwerk_Grundlagen_-_Konfigurationsdateien


mfg
 
hey super danke. ich war so fixiert auf iptables und firewall dass ich an diese möglichkeit gar nicht gedacht habe.

ipadresse eingetragen udn auf einmal ging der server 3 mal schneller :) super!!
 
SSH sollte man bei Servern idealerweise auch einfach auf einen anderen Port als den Standard-Port legen.
 
fail2ban sollte für dich ebenfalls interessant sein

gib doch mal in eine Konsole iptables -L ein, dann siehst du ob iptables verfügbar ist.
 
hey super danke. ich war so fixiert auf iptables und firewall dass ich an diese möglichkeit gar nicht gedacht habe.

ipadresse eingetragen udn auf einmal ging der server 3 mal schneller :) super!!

Bitte ich muss meine postinganzahl erhöhen seit 3 jahren dabei und nur 18 posts :)
 
danke für die schnellen antworten
also fail2ban wäre perfekt hab ich schon auch ausprobiert aber ich kann bei iptables keine neuen einstellungen übernehmen. kommt immer die fehlermeldung:
out of memory oder so. hab dann gegooglet und eben herausgefunden dass das bei vserver so ist. ich kann 30 einstellungen vergeben. nur denke ich mir das das eine sackgasse is. da kommt sicher jede woche eine neue ip adresse dazu. komm ich 30 wochn damit aus... das hat keine zukunft.

iptables -L gibt folgendes aus

Code:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ISPCP_INPUT  0    --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ISPCP_OUTPUT  0    --  anywhere             anywhere

Chain ISPCP_INPUT (1 references)
target     prot opt source               destination
           tcp  --  anywhere             anywhere            tcp dpt:imaps
           tcp  --  anywhere             anywhere            tcp dpt:pop3s
           tcp  --  anywhere             anywhere            tcp dpt:submission
           tcp  --  anywhere             anywhere            tcp dpt:smtp
           tcp  --  anywhere             anywhere            tcp dpt:imap2
           tcp  --  anywhere             anywhere            tcp dpt:pop3
           tcp  --  anywhere             anywhere            tcp dpt:https
           tcp  --  anywhere             anywhere            tcp dpt:www

Chain ISPCP_OUTPUT (1 references)
target     prot opt source               destination
           tcp  --  anywhere             anywhere            tcp spt:pop3s
           tcp  --  anywhere             anywhere            tcp spt:submission
           tcp  --  anywhere             anywhere            tcp spt:smtp
           tcp  --  anywhere             anywhere            tcp spt:imap2
           tcp  --  anywhere             anywhere            tcp spt:pop3
           tcp  --  anywhere             anywhere            tcp spt:https
           tcp  --  anywhere             anywhere            tcp spt:www

sieht so aus als dürfte jeder auf die bekannten standard ports drauf.
ist jede zeile eine einstellung?? gehe mal davon aus.

bevor ich ssh auf port 1149 oder so lege muss ich ja iptables ändern oder? sonst komm ich ja nicht auf diesen port wegen iptables....
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Bitte ich muss meine postinganzahl erhöhen seit 3 jahren dabei und nur 18 posts :)

:) bin auch seit 2006 dabei mit 13 posts... mist du bist besser :D
 
Zuletzt bearbeitet:
fail2ban sollte für dich ebenfalls interessant sein
Ist aber auf einem Vserver wegen fehlender iptables etwas schwierig. Aber in der Regel bieten auch Anbieter von Vserver eine Firewall an. Frage einfach mal bei deinem Anbieter.

Den ssh Port verschieben ist natürlich eine Lösung, jedoch findet jemand der den Port wissen will diesen auch sehr schnell. Nutze auf alle Fälle einen ssh Key und deaktiviere den root login. Das bietet dann doch einen guten Schutz.

Vom blockieren des ssh Ports kann ich dir nur abraten. Solltest du mal ein Problem mit dem Server haben kannst du dich ganz schnell selbst ausgesperrt haben.

In diesem Sinne
 
sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

sorry aber mit vserver kenne ich mich nicht aus.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

sorry das ich da mal so rein schreibe aber ich hätte da mal eine frage.
ich bin mir da mal nicht so sicher aber unter dem vserver verstehe ich darunter das auf einen anderen rechner(also nicht bei einen zuhause ist) eine linux oder windows system drauf ist. man kann also nur mittels remothe oder terminal darauf zugreifen oder liege ich da falsch?
wenn ich da richtig liege dann würde ich gerne mal wissen wenn man am system was einstellen will (root sachen eben) dann muss man ja sich als root einloggen, und wenn man dann den root login deaktiviert dann kann man ja nichts mehr machen als root.

oder meldet ihr euch aus user an und wechselt dann auf root um oder wie?

sorry aber mit vserver kenne ich mich nicht aus.

edit: darum erschlagt mich bitte nicht
 
Zuletzt bearbeitet:
@tux_rules

ja stimmt. zuerst als normaler user anmelden und dann mit "su" auf root wechseln. ist sicherer. den ssh zugang darf man am vserver eh nicht deaktivieren. dann geht ja nichts mehr :)
aber man kann den ssh daemon auf einen anderen port stellen sodass es nicht so ganz offensichtlich ist dass hier auf port 22 ssh läuft.

vserver haben auch den vorteil gegenüber dedizierten servern dass diese viiiel billger sind. dafür halt performance nachteile!
 
vserver haben auch den vorteil gegenüber dedizierten servern dass diese viiiel billger sind. dafür halt performance nachteile!

Nicht wirklich, es kommt ganz auf den Anbieter an. Ich habe auch 1 Jahr lang einen Vserver bei dem Anbieter Netcup kostet mich 28 Euro im Monat und die versprochene Leistung steht auch wirklich zu Verfügung. Sogar noch mehr. Schneller als mein alter root bei s4y welcher eigentlich schneller sein sollte (von den Hardwaredaten).

Für eine normale Seite ist ein Webspace aber meiner Meinung nach die bessere Wahl. Ein normaler root Server welchen sich ein normalsterblicher Leisten kann wird niemals so viel Leistung haben wie z.B bei einem guten Webhosting Paket zur verfügung steht. Mit einem Flexiblen Anbieter kann eigentlich fast alles realisiert werden.

Vserver sind aber sehr beliebt weil diese meistens günstiger sind als nur Webspace (auf den ersten Blick). Aber die meisten enden ja wie bekannt als Spawnschleuder.

In diesem Sinne
 
@->-: Was definierst du als "Normalsterblicher"? Es gibt schon komplette Webserver- und DB-Cluster ab 2000Euro/Monat. Sicherlich nicht vergleichbar mit einem einzelnen Rootserver, aber durchaus im Rahmen des Möglichen für Normalsterbliche nach meiner Definition.
 
nagut schon ein bisschen off topic oder ;)

egal. den vserver werd ich nicht ewig behalten. sobald ich mehr kunden habe werde ich mir einen richtigen server zulegen! wo ich dann wirklich gscheit mit iptables arbeitn kann!

ich hab nämlich auch schon das nächste problem. möchte meine logfiles mit epylog auswerten..lässt sich aber nicht starten da anscheinend nicht so viele thread gleichzeitig laufen können. kA was es da schon wieder hat. da werd ich aber ein neues topic aufmachen. danke nochmal für eure hilfe

ich hab noch eine grundsätzliche frage. iptables hackt anscheinend sehr weit unten im betriebssystem ein damit es alle pakete abfangen kann. kann man da kein andres programm draufstülpen das vielleicht auf auf einen vserver rennt.. oder selbst etwas programmieren? kann ja nicht soo schwer sein oder?
 
IPTables funktioniert auf einem VServer nicht, weil die Kernel-Module nicht in der VM geladen werden können. Im Normalfall liegt das daran, weil das Host-System bereits eine Firewall hat und weil das Gast-System keinen direkten Zugriff auf die Netzwerk-Devices hat, sondern virtuelle Devices nutzt, die lediglich ein "begrenztes" Interface zum Host-System haben.

Es ist also völlig egal welches Programm du da "draufstülpst". Die Begrenzung durch den Kernel bleibt trotzdem.
 

Ähnliche Themen

iptables Problem auf Linux vServer

iptables weiterleitung port vom internen Netzwerk zum internet Port

iptables-skript, Verbesserungsvorschläge

squid transparent proxy will nicht transparent werden !! :-(

Problem mit Squid-Proxy Transparent + ASA 5505

Zurück
Oben