Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Opensim bei einem externen Hoster
#21
Huhu

Hier ist eine Anleitung zu ufw.

https://wiki.ubuntuusers.de/ufw/

Hatte diesen Monat auch das erste mal Kontakt zu dem Teil, und finde es sehr gut.
Grüsse, Pharcide
Zitieren
#22
kann machen was ich will, wenn ich das Teil starte dann geht nichts mehr soweit ich gelesen habe hat der Hoster schon eine Fierwall aktiv und IPV6 wird benötigt
Zitieren
#23
Mach' doch auf dem gemieteten Server mal die Firewall testweise ganz aus, also notfalls UFW deinstallieren um sicher zu sein. Testen ist immer schwierig, wenn man Vermutungen anstellen muss was andere (in dem Fall der Provider) auf einem Rechner getan haben.

Kontrolle:
iptables -n -L -v
iptables -t nat -n -L -v
=> Es sollten keine Regeln angezeigt werden, wenn keine Firewall mehr auf "deinem" Linux läuft. Was "keine Regeln" bedeutet siehe nächsten Beitrag.

Jetzt mal versuchen, explizit mit IPv4 eine Webseite zu laden:
curl -4 gridtalk.de
=> Es sollte in der Kommandozeile der Quelltext der Gridtalk-Startseite angezeigt werden, also lauter HTML-Tags usw. (Curl ist natürlich kein Browser, da wird nichts von der Webseite interpretiert oder ausgeführt.)

Wenn das auch erfolgreich ist, hast du IPv4. Um festzustellen, ob du auch von außen per IPv4 erreichbar bist, kannst du folgendes versuchen:
ping 1.2.3.4
=> Das rufst du von einem Linux-Rechner außerhalb deines Servers auf, mit der IPv4 Adresse deines Servers statt 1.2.3.4. Das Linux ping kann nur IPv4. (Für IPv6 gibt's unter Linux ping6.) Bei diesem Test muss die UFW unbedingt abgeschaltet sein, weil die meistens ping sperrt.

Wenn diese Tests alle erfolgreich waren, suchst du dir eine Firewall-Software aus, die du verstehst und konfigurieren kannst. Nicht ohne Grund verzichte ich auf Firewall-Software und benutze IPtables direkt, denn ich habe den Regelverhau der großen, bekannten Firewallpakete auch nicht kapiert.

Wenn wirklich IPv4 auch ohne Firewall nicht durchkommt, könnte an der Vermutung was dran sein, dass der Provider IPv4 sperrt. Für einen Mietserver in einem Rechenzentrum wäre das aber ziemlich ungewöhnlich, bisher kenne ich das nur von Heimanschlüssen (z.B. bei mir zu Hause Kabel Deutschland).
Hyperweb.eu => Server-Tutorial für Linux mit OpenSim, OpenSim Arriba compiliert und für Metropolis konfiguriert!
Zitieren
#24
Sollausgabe ohne Firewall bei "iptables -n -L -v"
Code:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Sollausgabe ohne Firewall bei "iptables -t nat -n -L -v"
Code:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
Hyperweb.eu => Server-Tutorial für Linux mit OpenSim, OpenSim Arriba compiliert und für Metropolis konfiguriert!
Zitieren
#25
iptables -n -L -v

Chain INPUT (policy ACCEPT 262 packets, 23995 bytes)
 pkts bytes target     prot opt in     out     source               destination
84010   96M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22
 104K  113M ufw-before-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 104K  113M ufw-before-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 103K  113M ufw-after-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 102K  113M ufw-after-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 102K  113M ufw-reject-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 102K  113M ufw-track-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ufw-before-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-before-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-after-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-after-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 238 packets, 39006 bytes)
 pkts bytes target     prot opt in     out     source               destination
83220   13M ufw-before-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
83220   13M ufw-before-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
81931   13M ufw-after-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
81931   13M ufw-after-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
81931   13M ufw-reject-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
81931   13M ufw-track-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination
   37  2476 REJECT     all  --  *      *       58.218.198.160       0.0.0.0/0            reject-with icmp-port-unreachable
82698   96M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain ufw-after-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain ufw-after-input (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain ufw-after-logging-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain ufw-after-logging-input (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain ufw-after-logging-output (1 references)
 pkts bytes target     prot opt in     out     source               destination

iptables -t nat -n -L -v

Chain PREROUTING (policy ACCEPT 65 packets, 4016 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 34 packets, 2156 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

ufw ist disabled
Zitieren
#26
so nun mit aktivierter ufw....  apt-get update ... Bitte Foto anschauen .... ohne die Fierwall läuft apt-get update durch wie es soll


Angehängte Dateien Thumbnail(s)
   
Zitieren
#27
ein besseres Bild


Angehängte Dateien Thumbnail(s)
   
Zitieren
#28
Deine iptables Auszüge zeigen aber deutlich, dass dort "UFW" nicht ausgeschaltet war! Also du musst schon ohne UFW booten, sonst sind die Regeln ja erst mal drin.

Die folgende Regel macht den Rechner von außen zu. Wie man UFW konfiguriert, müssen aber andere antworten. Ich habe das Programm nie verwendet. Mindestens die Regeln mir "REJECT" müssen erst mal weg, z.B. sowas:
Code:
37  2476 REJECT   all  --  *   *   58.218.198.160   0.0.0.0/0    reject-with icmp-port-unreachable

Wenn du dir sicher bist, dass die UFW-Regeln davor alle benötigten Ports und Protokolle öffnen, dann und nur dann kannst du mit einem abschließenden REJECT die "Chain" schließen. Fazit: Du blockierst dich mit der Firewall selber, wie auch immer.

EDIT: Die Bildschirmfotos zeigen nichts spektakuläres, außer dass dein Rechner IPv6 für den Download verwendet. Das ist aber ganz normal, solange die Gegenstelle IPv6 kann und du deinem Betriebssystem das nicht explizit verbietest. Hetzner sperrt übrigens IPv4 nicht, ich bin da auch und noch mit viel krasseren Protokollen im Netz unterwegs als mit IP.
Hyperweb.eu => Server-Tutorial für Linux mit OpenSim, OpenSim Arriba compiliert und für Metropolis konfiguriert!
Zitieren
#29
ok habe das Zeugs mit apt-get remove ufw und apt-get remove fail2ban wieder deinstalliert

apt-get remove ufw
apt-get remove fail2ban
apt-get update
apt-get upgrade

habe aber immernoch einen Ordner /etc/fail2ban den löschen ?
Zitieren
#30
Unter der Annahme, dass du das eine oder andere Sicherheitsfeature nach den Tests wieder nutzen wirst, brauchst du die Konfigurationsordner nicht löschen. Sie stören nicht, deinstallieren heißt bei Linux eben dieses. Falls du mal ein Programm wirklich nicht mehr brauchst, kannst du beim Deinstallieren die Option --purge mit angeben. Dann werden auch die Konfigurationsdateien abgeräumt.

Fail2ban kann durchaus sinnvoll sein. Damit kann man (neben gefühlt 1001 Optionen) einstellen, dass nach z.B. 3 Fehlversuchen der Login für 10 Minuten gesperrt wird o.ä. So werden Wörterbuchangriffe uneffektiv.
Hyperweb.eu => Server-Tutorial für Linux mit OpenSim, OpenSim Arriba compiliert und für Metropolis konfiguriert!
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Erste Erfahrungen mit OpenSim unter Linux Pharcide 2 562 30.05.2017, 16:00
Letzter Beitrag: Pharcide
  Hilfe beim Einrichten des Servers und Opensim Grid Kolke 31 3.942 03.04.2017, 02:04
Letzter Beitrag: Bogus Curry
  Opensim unter .Net Core ? Bogus Curry 2 1.083 01.04.2017, 20:22
Letzter Beitrag: Bogus Curry
  GitRepo OpenSim installieren per Script unter Debian Bogus Curry 0 601 11.12.2016, 23:19
Letzter Beitrag: Bogus Curry
  Welche Version von Mono ist OpenSim tauglich ? Bogus Curry 12 3.195 30.03.2016, 20:09
Letzter Beitrag: Mareta Dagostino

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste