Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Alle IP-Adressen blockieren außer meine

Mitglied: Tron0070

Tron0070 (Level 1) - Jetzt verbinden

26.12.2018 um 19:12 Uhr, 880 Aufrufe, 13 Kommentare

Hallo Leute ich bin neu hier im Forum.

Ich habe seit kurzem einen vServer (VPS 200 G8) bei netcup. Zurzeit verwende ich fail2ban um IP-Adressen zu blockieren.
Aber je länger der vServer läuft desto länger wird die Persistente Bannliste.

Ich wollte mal wissen, wie ich alle IP-Adressen blockieren kann und Ausnahmeregelung. Ich will ja selbst auch auf den vServer zugreifen können

Ich suche schon ein paar Stunden nach eine Lösung in der Art:
01.
sudo iptables -I INPUT -s 94.134.0.0/8 -j DROP
02.
sudo iptables -A INPUT -s 1.2.3.4/0 -j DROP
Das habe ich nicht getestet. Es ist nur ein Beispiel wie ich mir das vorgestellt habe.

Ich will nur 2 regeln. Blockiere alle IP-Adressen außer meinen IP-Adressen Bereich (94.134.0.0/8)

Wie kann ich das am besten lösen?

Gruß Tron
Mitglied: Exception
LÖSUNG 26.12.2018, aktualisiert um 19:19 Uhr
Guten Abend,

normalerweise sollte folgende Regel reichen:

01.
iptables -A INPUT -s <deine ip> -j ACCEPT
Falls die INPUT Policy auf ACCEPT gesetzt wurde, dann musst du folgendes ändern:

01.
iptables --policy INPUT DROP
Wichtig: iptable Regelwerk anschließend speichern.

Viele Grüße
Exception
Bitte warten ..
Mitglied: balder
26.12.2018 um 19:19 Uhr
Servus,

stell doch fail2ban so ein das nach einer gewissen Zeit die gesperrten IP Adressen wieder zugelassen werden. (unban)
Wobei ich glaube das die Standard Sperrzeit bei 3600 Sekunden liegt.

LG
Bitte warten ..
Mitglied: Tron0070
26.12.2018 um 19:29 Uhr
Hallo Exception. Danke für deine Hilfe.
Funktioniert das auch mit Netzwerkmaske (94.134.0.0/8). Ich hab nämlich noch nicht so viel Erfahrung mit iptables.
Und ich will mich nicht unbedingt wieder aussperren.
Bitte warten ..
Mitglied: Exception
26.12.2018, aktualisiert um 19:35 Uhr
Ja, du kannst als Source/Destination entweder einzelne IPs oder Netzwerke angeben.
Bei letzteres eben noch die Subnetzmaske mitangeben.
Bitte warten ..
Mitglied: Tron0070
26.12.2018 um 19:35 Uhr
Hallo balder.

Ich habe fail2ban extra so eingestellt, dass alles, lange, und für immer blockiert wird. Ich will nämlich nur ausgewählte IPs.
Die Sperrzeit von fail2ban habe ich deshalb auf -1 gestellt.
Bitte warten ..
Mitglied: Vision2015
26.12.2018 um 19:50 Uhr
Moin...
Zitat von Tron0070:

Hallo balder.

Ich habe fail2ban extra so eingestellt, dass alles, lange, und für immer blockiert wird. Ich will nämlich nur ausgewählte IPs.
Die Sperrzeit von fail2ban habe ich deshalb auf -1 gestellt.
was ist das für ein Server, wo keiner drauf darf?
Web und Mail kann es ja nicht sein..

Frank
Bitte warten ..
Mitglied: Tron0070
26.12.2018 um 20:17 Uhr
Hallo Frank.

Es ist erstmal nur eine Art Spielwiese. Das ist mein erster Server der keinen Router als Firewall hat und ich will für den Anfang auf Nummer Sicher gehen da ich noch nicht so viel Erfahrung habe mit einem Server der 24h im Internet verfügbar ist.

Aber um Deine Frage zu beantworten: es soll ein Apache Webserver sein. Später evtl. noch VPN.

Kann mir noch jemand sagen, warum der SSH-Login jetzt so lange dauert?
Ich habe
01.
iptables -A INPUT -s 94.134.0.0/16 -j ACCEPT
und auch
01.
iptables -A INPUT -s <meine-IP> -j ACCEPT
versucht. Aber der Login dauert ca. 20 Sekunden. Vorher war es ca. 1 Sekunde
Bitte warten ..
Mitglied: it-fraggle
26.12.2018, aktualisiert um 21:21 Uhr
1. direkter Login des Root unterbinden (PermitRootLogin no)
2. SSH-Anmeldung nur mit PubKey.
3. SSH-Zugang an deine heimische IP (sofern sie statisch ist) binden.
4. Nicht Port 22, sondern einen hohen Port wählen, um der Masse zu entgehen.

Ehrlich gesagt hättest du besser als Spielwiese daheim einen alten PC zum "Server" gemacht und damit rumgespielt bis du weißt was du tust. Deine Spielwiese wäre nicht der erste Kasten, der plötzlich nebenher noch andere Dinge zu tun hat von denen du nichts weißt.
Bitte warten ..
Mitglied: Exception
26.12.2018 um 21:23 Uhr
Kann mir noch jemand sagen, warum der SSH-Login jetzt so lange dauert?
Aber der Login dauert ca. 20 Sekunden. Vorher war es ca. 1 Sekunde

D.h. es kann eine Verbindung zum Server aufgebaut werden bzw. der Login Prompt erscheint und der Loginprozess dauert so lange?
Dann sind die iptable Regeln schon mal aus dem Spiel, da die Verbindung ja generell funktioniert.

Hast du das Passwort korrekt eingegeben?
Eventuell generell kurzfristige Verbindungsprobleme zum VPS?
Bitte warten ..
Mitglied: Tron0070
26.12.2018 um 22:44 Uhr
@ it-fraggle

Erfahrungen mit Homeservern habe ich wie oben schon erwähnt ->"mein erster Server der keinen Router als Firewall hat". Und die Punkt 1,2 und 4 sind schon lange erledigt. Nur Punkt 3 wollte ich mit iptable (Netzwerkmaske da ich keine feste IP habe) versuchen. Oder macht man das anders?

Zudem hätte ich mir noch einen Router für eine DMZ besorgen müssen um mein Heimnetzwerk bei einem 24/7 Serverbetrieb nicht zu gefährden. Deshalb habe ich mich für eine vServer entschieden (2.69 € im Monat, Stundenweise Abrechnung), feste IP und wenn was schief geht wird das Image neu aufgespielt. Ein vServer hat schon seine Vorzüge.

@Exception

Die iptable Regeln funktionieren. Ich habe mich auch schon kurz ausgesperrt weil ich zuerst die policy eingetragen habe.

Nach dem der ssh Befehl mit Enter bestätigt wird komm erst ein clearscreen und ein Blinkender curser ohne Prompt.
Nach 20 Sekunden bin ich angemeldet. Mit Login-Banner und user@server Prompt.

Ein Passwordeingabe habe ich nicht da ich das PubKey verfahren verwenden.
Verbindungsproblem sind es vermutlich auch nicht.
Nach einem Neustart des Servers waren die alten failt2ban Regeln wieder aktiviert da ich den fail2ban service nur gestoppt hatte und der Login war wieder normal (< 1 Sekunde).

Nachdem ich den fail2ban service wieder stoppte und die iptables Regeln wieder aktivierte dauerte der Login wieder 20 Sekunden.

Könnte es evtl an einem fail2ban Konflikt liegen? Sonst deinstalliere ich es mal.
Bitte warten ..
Mitglied: Henere
LÖSUNG 26.12.2018 um 22:56 Uhr
Kann es sein, dass der Server einen reverse-lookup versucht und so erst in sein Timeout laufen muss ?
Bitte warten ..
Mitglied: Tron0070
26.12.2018 um 23:14 Uhr
@Henere
Hallo Henere, danke für deine Hilfe.
Das war es.
In meiner
01.
/etc/ssh/sshd_config
habe ich ein
01.
UseDNS no
eingetragen und jetzt ist der Login wieder schnell.
Vielen Dank
Bitte warten ..
Mitglied: Henere
26.12.2018 um 23:24 Uhr
Fein, dann bitte auf gelöst setzen und die richtigen Antworten markieren.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Server 2012 DNS AD DHCP. IP Adress Frage
Frage von maxrutzWindows Server1 Kommentar

Momentan hab ich zum Testen ein Server zuhause mit ESXI und winserver 2012. Ich habe ein Test Netzwerk gemacht ...

Router & Routing

Zugriff auf NAS in anderem IP-Adress Bereich

gelöst Frage von TorstenhofRouter & Routing12 Kommentare

Hallo liebe Forumsmitglieder Ich habe folgendes Problem mit einer Netzwerkkonfiguration: Netzwerk 1: IP Adressen 192.168.0.x Arbeitsplatzrechner und NAS Zugriff ...

LAN, WAN, Wireless

MAC Adress Finder bzw. Scanner (legal)

gelöst Frage von SchwarzerRieseLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich habe in meinem Heimnetzwerk (mit einer FritzBox als Modem & Router) folgendes "Problem": Irgendein Nachbar besitzt ...

Windows Tools

Cobra Adress Plus und Outlook

gelöst Frage von hartmann0Windows Tools8 Kommentare

Hallo, da ich durch Googlen leider einfach nichts finde, habe ich mich entschlossen, mich einfach mal hier an das ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 22 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 3 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

E-Mail
Rechtssichere Archivierung von emails
Frage von gerd33E-Mail9 Kommentare

Hallo zusammen, bin gerade dabei, eine revisions- und rechtsichere email-archivierung aucf meinem Server zu projektieren. Da eigentlich nur ich ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement9 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...