tron0070
Goto Top

Alle IP-Adressen blockieren außer meine

Hallo Leute ich bin neu hier im Forum.

Ich habe seit kurzem einen vServer (VPS 200 G8) bei netcup. Zurzeit verwende ich fail2ban um IP-Adressen zu blockieren.
Aber je länger der vServer läuft desto länger wird die Persistente Bannliste.

Ich wollte mal wissen, wie ich alle IP-Adressen blockieren kann und Ausnahmeregelung. Ich will ja selbst auch auf den vServer zugreifen können

Ich suche schon ein paar Stunden nach eine Lösung in der Art:
sudo iptables -I INPUT -s 94.134.0.0/8 -j DROP
sudo iptables -A INPUT -s 1.2.3.4/0 -j DROP
Das habe ich nicht getestet. Es ist nur ein Beispiel wie ich mir das vorgestellt habe.

Ich will nur 2 regeln. Blockiere alle IP-Adressen außer meinen IP-Adressen Bereich (94.134.0.0/8)

Wie kann ich das am besten lösen?

Gruß Tron

Content-Key: 396766

Url: https://administrator.de/contentid/396766

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: 129580
Lösung 129580 26.12.2018 aktualisiert um 19:19:46 Uhr
Goto Top
Guten Abend,

normalerweise sollte folgende Regel reichen:

iptables -A INPUT -s <deine ip> -j ACCEPT

Falls die INPUT Policy auf ACCEPT gesetzt wurde, dann musst du folgendes ändern:

iptables --policy INPUT DROP

Wichtig: iptable Regelwerk anschließend speichern. face-wink

Viele Grüße
Exception
Mitglied: 57803
57803 26.12.2018 um 19:19:38 Uhr
Goto Top
Servus,

stell doch fail2ban so ein das nach einer gewissen Zeit die gesperrten IP Adressen wieder zugelassen werden. (unban)
Wobei ich glaube das die Standard Sperrzeit bei 3600 Sekunden liegt.

LG
Mitglied: Tron0070
Tron0070 26.12.2018 um 19:29:50 Uhr
Goto Top
Hallo Exception. Danke für deine Hilfe.
Funktioniert das auch mit Netzwerkmaske (94.134.0.0/8). Ich hab nämlich noch nicht so viel Erfahrung mit iptables.
Und ich will mich nicht unbedingt wieder aussperren.
Mitglied: 129580
129580 26.12.2018 aktualisiert um 19:35:01 Uhr
Goto Top
Ja, du kannst als Source/Destination entweder einzelne IPs oder Netzwerke angeben.
Bei letzteres eben noch die Subnetzmaske mitangeben.
Mitglied: Tron0070
Tron0070 26.12.2018 um 19:35:07 Uhr
Goto Top
Hallo balder.

Ich habe fail2ban extra so eingestellt, dass alles, lange, und für immer blockiert wird. Ich will nämlich nur ausgewählte IPs.
Die Sperrzeit von fail2ban habe ich deshalb auf -1 gestellt.
Mitglied: Vision2015
Vision2015 26.12.2018 um 19:50:06 Uhr
Goto Top
Moin...
Zitat von @Tron0070:

Hallo balder.

Ich habe fail2ban extra so eingestellt, dass alles, lange, und für immer blockiert wird. Ich will nämlich nur ausgewählte IPs.
Die Sperrzeit von fail2ban habe ich deshalb auf -1 gestellt.
was ist das für ein Server, wo keiner drauf darf?
Web und Mail kann es ja nicht sein..

Frank
Mitglied: Tron0070
Tron0070 26.12.2018 um 20:17:15 Uhr
Goto Top
Hallo Frank.

Es ist erstmal nur eine Art Spielwiese. Das ist mein erster Server der keinen Router als Firewall hat und ich will für den Anfang auf Nummer Sicher gehen da ich noch nicht so viel Erfahrung habe mit einem Server der 24h im Internet verfügbar ist.

Aber um Deine Frage zu beantworten: es soll ein Apache Webserver sein. Später evtl. noch VPN.

Kann mir noch jemand sagen, warum der SSH-Login jetzt so lange dauert?
Ich habe
iptables -A INPUT -s 94.134.0.0/16 -j ACCEPT
und auch
iptables -A INPUT -s <meine-IP> -j ACCEPT
versucht. Aber der Login dauert ca. 20 Sekunden. Vorher war es ca. 1 Sekunde
Mitglied: it-fraggle
it-fraggle 26.12.2018 aktualisiert um 21:21:58 Uhr
Goto Top
1. direkter Login des Root unterbinden (PermitRootLogin no)
2. SSH-Anmeldung nur mit PubKey.
3. SSH-Zugang an deine heimische IP (sofern sie statisch ist) binden.
4. Nicht Port 22, sondern einen hohen Port wählen, um der Masse zu entgehen.

Ehrlich gesagt hättest du besser als Spielwiese daheim einen alten PC zum "Server" gemacht und damit rumgespielt bis du weißt was du tust. Deine Spielwiese wäre nicht der erste Kasten, der plötzlich nebenher noch andere Dinge zu tun hat von denen du nichts weißt.
Mitglied: 129580
129580 26.12.2018 um 21:23:25 Uhr
Goto Top
Kann mir noch jemand sagen, warum der SSH-Login jetzt so lange dauert?
Aber der Login dauert ca. 20 Sekunden. Vorher war es ca. 1 Sekunde

D.h. es kann eine Verbindung zum Server aufgebaut werden bzw. der Login Prompt erscheint und der Loginprozess dauert so lange?
Dann sind die iptable Regeln schon mal aus dem Spiel, da die Verbindung ja generell funktioniert.

Hast du das Passwort korrekt eingegeben?
Eventuell generell kurzfristige Verbindungsprobleme zum VPS?
Mitglied: Tron0070
Tron0070 26.12.2018 um 22:44:51 Uhr
Goto Top
@ it-fraggle

Erfahrungen mit Homeservern habe ich wie oben schon erwähnt ->"mein erster Server der keinen Router als Firewall hat". Und die Punkt 1,2 und 4 sind schon lange erledigt. Nur Punkt 3 wollte ich mit iptable (Netzwerkmaske da ich keine feste IP habe) versuchen. Oder macht man das anders?

Zudem hätte ich mir noch einen Router für eine DMZ besorgen müssen um mein Heimnetzwerk bei einem 24/7 Serverbetrieb nicht zu gefährden. Deshalb habe ich mich für eine vServer entschieden (2.69 € im Monat, Stundenweise Abrechnung), feste IP und wenn was schief geht wird das Image neu aufgespielt. Ein vServer hat schon seine Vorzüge.

@129580

Die iptable Regeln funktionieren. Ich habe mich auch schon kurz ausgesperrt weil ich zuerst die policy eingetragen habe.

Nach dem der ssh Befehl mit Enter bestätigt wird komm erst ein clearscreen und ein Blinkender curser ohne Prompt.
Nach 20 Sekunden bin ich angemeldet. Mit Login-Banner und user@server Prompt.

Ein Passwordeingabe habe ich nicht da ich das PubKey verfahren verwenden.
Verbindungsproblem sind es vermutlich auch nicht.
Nach einem Neustart des Servers waren die alten failt2ban Regeln wieder aktiviert da ich den fail2ban service nur gestoppt hatte und der Login war wieder normal (< 1 Sekunde).

Nachdem ich den fail2ban service wieder stoppte und die iptables Regeln wieder aktivierte dauerte der Login wieder 20 Sekunden.

Könnte es evtl an einem fail2ban Konflikt liegen? Sonst deinstalliere ich es mal.
Mitglied: Henere
Lösung Henere 26.12.2018 um 22:56:16 Uhr
Goto Top
Kann es sein, dass der Server einen reverse-lookup versucht und so erst in sein Timeout laufen muss ?
Mitglied: Tron0070
Tron0070 26.12.2018 um 23:14:22 Uhr
Goto Top
@Henere
Hallo Henere, danke für deine Hilfe.
Das war es.
In meiner
/etc/ssh/sshd_config
habe ich ein
UseDNS no
eingetragen und jetzt ist der Login wieder schnell.
Vielen Dank
Mitglied: Henere
Henere 26.12.2018 um 23:24:14 Uhr
Goto Top
Fein, dann bitte auf gelöst setzen und die richtigen Antworten markieren.