Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Opensim bei einem externen Hoster
#21
Huhu

Hier ist eine Anleitung zu ufw.

https://wiki.ubuntuusers.de/ufw/

Hatte diesen Monat auch das erste mal Kontakt zu dem Teil, und finde es sehr gut.
Grüsse, Pharcide
Zitieren
#22
kann machen was ich will, wenn ich das Teil starte dann geht nichts mehr soweit ich gelesen habe hat der Hoster schon eine Fierwall aktiv und IPV6 wird benötigt
Zitieren
#23
Mach' doch auf dem gemieteten Server mal die Firewall testweise ganz aus, also notfalls UFW deinstallieren um sicher zu sein. Testen ist immer schwierig, wenn man Vermutungen anstellen muss was andere (in dem Fall der Provider) auf einem Rechner getan haben.

Kontrolle:
iptables -n -L -v
iptables -t nat -n -L -v
=> Es sollten keine Regeln angezeigt werden, wenn keine Firewall mehr auf "deinem" Linux läuft. Was "keine Regeln" bedeutet siehe nächsten Beitrag.

Jetzt mal versuchen, explizit mit IPv4 eine Webseite zu laden:
curl -4 gridtalk.de
=> Es sollte in der Kommandozeile der Quelltext der Gridtalk-Startseite angezeigt werden, also lauter HTML-Tags usw. (Curl ist natürlich kein Browser, da wird nichts von der Webseite interpretiert oder ausgeführt.)

Wenn das auch erfolgreich ist, hast du IPv4. Um festzustellen, ob du auch von außen per IPv4 erreichbar bist, kannst du folgendes versuchen:
ping 1.2.3.4
=> Das rufst du von einem Linux-Rechner außerhalb deines Servers auf, mit der IPv4 Adresse deines Servers statt 1.2.3.4. Das Linux ping kann nur IPv4. (Für IPv6 gibt's unter Linux ping6.) Bei diesem Test muss die UFW unbedingt abgeschaltet sein, weil die meistens ping sperrt.

Wenn diese Tests alle erfolgreich waren, suchst du dir eine Firewall-Software aus, die du verstehst und konfigurieren kannst. Nicht ohne Grund verzichte ich auf Firewall-Software und benutze IPtables direkt, denn ich habe den Regelverhau der großen, bekannten Firewallpakete auch nicht kapiert.

Wenn wirklich IPv4 auch ohne Firewall nicht durchkommt, könnte an der Vermutung was dran sein, dass der Provider IPv4 sperrt. Für einen Mietserver in einem Rechenzentrum wäre das aber ziemlich ungewöhnlich, bisher kenne ich das nur von Heimanschlüssen (z.B. bei mir zu Hause Kabel Deutschland).
Zitieren
#24
Sollausgabe ohne Firewall bei "iptables -n -L -v"
Code:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

Sollausgabe ohne Firewall bei "iptables -t nat -n -L -v"
Code:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Zitieren
#25
iptables -n -L -v

Chain INPUT (policy ACCEPT 262 packets, 23995 bytes)
pkts bytes target prot opt in out source destination
84010 96M f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
104K 113M ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
104K 113M ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
103K 113M ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 238 packets, 39006 bytes)
pkts bytes target prot opt in out source destination
83220 13M ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
83220 13M ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0

Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
37 2476 REJECT all -- * * 58.218.198.160 0.0.0.0/0 reject-with icmp-port-unreachable
82698 96M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination

Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination

iptables -t nat -n -L -v

Chain PREROUTING (policy ACCEPT 65 packets, 4016 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 34 packets, 2156 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

ufw ist disabled
Zitieren
#26
so nun mit aktivierter ufw.... apt-get update ... Bitte Foto anschauen .... ohne die Fierwall läuft apt-get update durch wie es soll


Angehängte Dateien Thumbnail(s)
   
Zitieren
#27
ein besseres Bild


Angehängte Dateien Thumbnail(s)
   
Zitieren
#28
Deine iptables Auszüge zeigen aber deutlich, dass dort "UFW" nicht ausgeschaltet war! Also du musst schon ohne UFW booten, sonst sind die Regeln ja erst mal drin.

Die folgende Regel macht den Rechner von außen zu. Wie man UFW konfiguriert, müssen aber andere antworten. Ich habe das Programm nie verwendet. Mindestens die Regeln mir "REJECT" müssen erst mal weg, z.B. sowas:
Code:
37  2476 REJECT   all  --  *   *   58.218.198.160   0.0.0.0/0    reject-with icmp-port-unreachable

Wenn du dir sicher bist, dass die UFW-Regeln davor alle benötigten Ports und Protokolle öffnen, dann und nur dann kannst du mit einem abschließenden REJECT die "Chain" schließen. Fazit: Du blockierst dich mit der Firewall selber, wie auch immer.

EDIT: Die Bildschirmfotos zeigen nichts spektakuläres, außer dass dein Rechner IPv6 für den Download verwendet. Das ist aber ganz normal, solange die Gegenstelle IPv6 kann und du deinem Betriebssystem das nicht explizit verbietest. Hetzner sperrt übrigens IPv4 nicht, ich bin da auch und noch mit viel krasseren Protokollen im Netz unterwegs als mit IP.
Zitieren
#29
ok habe das Zeugs mit apt-get remove ufw und apt-get remove fail2ban wieder deinstalliert

apt-get remove ufw
apt-get remove fail2ban
apt-get update
apt-get upgrade

habe aber immernoch einen Ordner /etc/fail2ban den löschen ?
Zitieren
#30
Unter der Annahme, dass du das eine oder andere Sicherheitsfeature nach den Tests wieder nutzen wirst, brauchst du die Konfigurationsordner nicht löschen. Sie stören nicht, deinstallieren heißt bei Linux eben dieses. Falls du mal ein Programm wirklich nicht mehr brauchst, kannst du beim Deinstallieren die Option --purge mit angeben. Dann werden auch die Konfigurationsdateien abgeräumt.

Fail2ban kann durchaus sinnvoll sein. Damit kann man (neben gefühlt 1001 Optionen) einstellen, dass nach z.B. 3 Fehlversuchen der Login für 10 Minuten gesperrt wird o.ä. So werden Wörterbuchangriffe uneffektiv.
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  OpenSim Problem mit Raspberry Pi 4 Pius Noel 1 470 12.08.2024, 19:25
Letzter Beitrag: Pius Noel
  Automatische Einstellung einer IP beim Start von OpenSim royalgrid 6 881 26.03.2024, 14:31
Letzter Beitrag: Manfred Aabye
Brick Neues Grid aka Aufbau OpenSim mit Robust und Co... brenner23 31 47.032 16.08.2020, 19:53
Letzter Beitrag: Manfred Aabye
  Database Cleanup Script [OpenSim 0.9.x] bimbam2103 29 25.570 15.05.2019, 10:54
Letzter Beitrag: Manfred Aabye
  Upgrade Erfahrungen OpenSim 0.9.1, Mono 5.x unter Linux: Data Rossini 12 16.504 12.02.2019, 13:16
Letzter Beitrag: Pius Noel

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste