+- GridTalk.de (https://www.gridtalk.de)
+-- Forum: Werkstatt (https://www.gridtalk.de/forumdisplay.php?fid=4)
+--- Forum: Technik (https://www.gridtalk.de/forumdisplay.php?fid=25)
+---- Forum: Linux (https://www.gridtalk.de/forumdisplay.php?fid=26)
+---- Thema: Opensim bei einem externen Hoster (/showthread.php?tid=2759)
RE: Opensim bei einem externen Hoster - Pharcide - 25.10.2017
Huhu
Hier ist eine Anleitung zu ufw.
https://wiki.ubuntuusers.de/ufw/
Hatte diesen Monat auch das erste mal Kontakt zu dem Teil, und finde es sehr gut.
Grüsse, Pharcide
RE: Opensim bei einem externen Hoster - Munala Kaliopov - 25.10.2017
kann machen was ich will, wenn ich das Teil starte dann geht nichts mehr soweit ich gelesen habe hat der Hoster schon eine Fierwall aktiv und IPV6 wird benötigt
RE: Opensim bei einem externen Hoster - Mareta Dagostino - 25.10.2017
Mach' doch auf dem gemieteten Server mal die Firewall testweise ganz aus, also notfalls UFW deinstallieren um sicher zu sein. Testen ist immer schwierig, wenn man Vermutungen anstellen muss was andere (in dem Fall der Provider) auf einem Rechner getan haben.
Kontrolle:
iptables -n -L -v
iptables -t nat -n -L -v
=> Es sollten keine Regeln angezeigt werden, wenn keine Firewall mehr auf "deinem" Linux läuft. Was "keine Regeln" bedeutet siehe nächsten Beitrag.
Jetzt mal versuchen, explizit mit IPv4 eine Webseite zu laden:
curl -4 gridtalk.de
=> Es sollte in der Kommandozeile der Quelltext der Gridtalk-Startseite angezeigt werden, also lauter HTML-Tags usw. (Curl ist natürlich kein Browser, da wird nichts von der Webseite interpretiert oder ausgeführt.)
Wenn das auch erfolgreich ist, hast du IPv4. Um festzustellen, ob du auch von außen per IPv4 erreichbar bist, kannst du folgendes versuchen:
ping 1.2.3.4
=> Das rufst du von einem Linux-Rechner außerhalb deines Servers auf, mit der IPv4 Adresse deines Servers statt 1.2.3.4. Das Linux ping kann nur IPv4. (Für IPv6 gibt's unter Linux ping6.) Bei diesem Test muss die UFW unbedingt abgeschaltet sein, weil die meistens ping sperrt.
Wenn diese Tests alle erfolgreich waren, suchst du dir eine Firewall-Software aus, die du verstehst und konfigurieren kannst. Nicht ohne Grund verzichte ich auf Firewall-Software und benutze IPtables direkt, denn ich habe den Regelverhau der großen, bekannten Firewallpakete auch nicht kapiert.
Wenn wirklich IPv4 auch ohne Firewall nicht durchkommt, könnte an der Vermutung was dran sein, dass der Provider IPv4 sperrt. Für einen Mietserver in einem Rechenzentrum wäre das aber ziemlich ungewöhnlich, bisher kenne ich das nur von Heimanschlüssen (z.B. bei mir zu Hause Kabel Deutschland).
RE: Opensim bei einem externen Hoster - Mareta Dagostino - 25.10.2017
Sollausgabe ohne Firewall bei "iptables -n -L -v"
Code:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destinationSollausgabe ohne Firewall bei "iptables -t nat -n -L -v"
Code:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destinationRE: Opensim bei einem externen Hoster - Munala Kaliopov - 26.10.2017
iptables -n -L -v
Chain INPUT (policy ACCEPT 262 packets, 23995 bytes)
pkts bytes target prot opt in out source destination
84010 96M f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
104K 113M ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
104K 113M ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
103K 113M ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
102K 113M ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 238 packets, 39006 bytes)
pkts bytes target prot opt in out source destination
83220 13M ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
83220 13M ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
81931 13M ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
37 2476 REJECT all -- * * 58.218.198.160 0.0.0.0/0 reject-with icmp-port-unreachable
82698 96M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination
iptables -t nat -n -L -v
Chain PREROUTING (policy ACCEPT 65 packets, 4016 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 34 packets, 2156 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
ufw ist disabled
RE: Opensim bei einem externen Hoster - Munala Kaliopov - 26.10.2017
so nun mit aktivierter ufw.... apt-get update ... Bitte Foto anschauen .... ohne die Fierwall läuft apt-get update durch wie es soll
RE: Opensim bei einem externen Hoster - Munala Kaliopov - 26.10.2017
ein besseres Bild
RE: Opensim bei einem externen Hoster - Mareta Dagostino - 26.10.2017
Deine iptables Auszüge zeigen aber deutlich, dass dort "UFW" nicht ausgeschaltet war! Also du musst schon ohne UFW booten, sonst sind die Regeln ja erst mal drin.
Die folgende Regel macht den Rechner von außen zu. Wie man UFW konfiguriert, müssen aber andere antworten. Ich habe das Programm nie verwendet. Mindestens die Regeln mir "REJECT" müssen erst mal weg, z.B. sowas:
Code:
37 2476 REJECT all -- * * 58.218.198.160 0.0.0.0/0 reject-with icmp-port-unreachableWenn du dir sicher bist, dass die UFW-Regeln davor alle benötigten Ports und Protokolle öffnen, dann und nur dann kannst du mit einem abschließenden REJECT die "Chain" schließen. Fazit: Du blockierst dich mit der Firewall selber, wie auch immer.
EDIT: Die Bildschirmfotos zeigen nichts spektakuläres, außer dass dein Rechner IPv6 für den Download verwendet. Das ist aber ganz normal, solange die Gegenstelle IPv6 kann und du deinem Betriebssystem das nicht explizit verbietest. Hetzner sperrt übrigens IPv4 nicht, ich bin da auch und noch mit viel krasseren Protokollen im Netz unterwegs als mit IP.
RE: Opensim bei einem externen Hoster - Munala Kaliopov - 26.10.2017
ok habe das Zeugs mit apt-get remove ufw und apt-get remove fail2ban wieder deinstalliert
apt-get remove ufw
apt-get remove fail2ban
apt-get update
apt-get upgrade
habe aber immernoch einen Ordner /etc/fail2ban den löschen ?
RE: Opensim bei einem externen Hoster - Mareta Dagostino - 26.10.2017
Unter der Annahme, dass du das eine oder andere Sicherheitsfeature nach den Tests wieder nutzen wirst, brauchst du die Konfigurationsordner nicht löschen. Sie stören nicht, deinstallieren heißt bei Linux eben dieses. Falls du mal ein Programm wirklich nicht mehr brauchst, kannst du beim Deinstallieren die Option --purge mit angeben. Dann werden auch die Konfigurationsdateien abgeräumt.
Fail2ban kann durchaus sinnvoll sein. Damit kann man (neben gefühlt 1001 Optionen) einstellen, dass nach z.B. 3 Fehlversuchen der Login für 10 Minuten gesperrt wird o.ä. So werden Wörterbuchangriffe uneffektiv.