Firewall - Geht das nicht einfacher?

[HolgerGr]

Hallo,

ich weiß, wir hatten schon viel zum Thema Firewall. Aber ein Problem habe ich bisher noch nicht gelöst: Wenn BruteForce Angriffe stattfinden, die nicht über Fail2Ban abgeriegelt werden können, dann banne ich die entsprechende(n) IP(s) üblicherweise so wie auf dem Bild gezeigt.



Das ist aber ziemlich umständlich und es muss jedes mal ein neuer Entwurf angelegt werden. Ich bin inzwischen bei Entwurf 50 angelangt. Einfacher wäre es wenn ich die IPs einfach in einer (am besten via FTP erreichbaren) Textdatei speichern und diese dann über die Firewall aufrufen könnte.

Wie geht das?

[Martin]

Hallo,

hier bestünde natürlich auch die Möglichkeit iptables direkt über die Shell aufzurufen. Dies ist bei vielen gleichartigen Regeln vermutlich effizienter.

[HolgerGr]

So habe ich das zumindest gemacht bevor es in Keyhelp integriert wurde. Finde ich jetzt aber nicht unbedingt komfortabler. Nee, ich möchte das gerne in einer Textdatei führen. Alles feinsäuberlich untereinander. Editierbar nach Möglichkeit ,mit meinem Haus- und Hof-Editor.

[Jolinar]

Nee, ich möchte das gerne in einer Textdatei führen. Alles feinsäuberlich untereinander. Editierbar nach Möglichkeit ,mit meinem Haus- und Hof-Editor.

Vielleicht wäre ja folgender Lösungsansatz eine Überlegung wert (Achtung...Ich hab das jetzt nicht nochmal getestet, sondern nur aus dem Gedächtnis aufgeschrieben, also nochmal selber prüfen!):

Zuerst mit

Code: Select all

iptables-save > /dein/pfad/standard.v4.lst
ip6tables-save > /dein/pfad/standard.v6.lst

die Standardregeln von Keyhelp speichern. Dabei sollten natürlich noch keine manuellen Ergänzungen gemacht sein. Diese beiden Files müßten dann nur bei Änderung der Standardregeln neu erzeugt werden.
Als nächstes legst du dir in dem Editor deiner Wahl die Liste mit IP-Adressen an, die du sperren möchtest.
Dann bastelst du dir ein Cron-Script, wo du als erstes die Regeln flushst, dann mit

Code: Select all

iptables-restore < /dein/pfad/standard.v4.lst
ip6tables-restore < /dein/pfad/standard.v6.lst
cat /dein/pfad/mylist.v4.lst | xargs -n1 iptables -I INPUT -j DROP -s
cat /dein/pfad/mylist.v6.lst | xargs -n1 ip6tables -I INPUT -j DROP -s

die Standardregeln und danach deine Regeln hinzufügst.

Je nach Häufigkeit der Änderungen an deiner IP-Liste läßt du dann den Cronjob laufen.

[hase]

So habe ich das zumindest gemacht bevor es in Keyhelp integriert wurde. Finde ich jetzt aber nicht unbedingt komfortabler. Nee, ich möchte das gerne in einer Textdatei führen. Alles feinsäuberlich untereinander. Editierbar nach Möglichkeit ,mit meinem Haus- und Hof-Editor.

Am besten du ignoriest die Firewall GUI komplett und steuerst alles direkt über die Shell, ist wesentlich einfacher.
Wie in meinen anderen Beitrag dazu bereist geschrieben, ist die FW-GUI total überflüssig.

[Jolinar]

Wie in meinen anderen Beitrag dazu bereist geschrieben, ist die FW-GUI total überflüssig.

Naja, überflüssig würde ich jetzt nicht sagen.
Ein Produkt wie Keyhelp muß möglichst allen Nutzern mit unterschiedlichsten Basiskenntnissen gerecht werden. Und es gibt genug Serveradmins, die sich (aus den verschiedensten Gründen) um die Arbeit an der Shell "herumdrücken". Für diese Leute ist das GUI schon sinnvoll.

[hase]

Nunja, also ich geh mal stark davon aus, wer als Admin KH benutzt, auch schon wissen sollte was er macht. KH ist doch eigentlich nur für die "normalen" Webkunden von Interesse und nimmt den Admin über die GUI ein paar wichtige sachen ab. Solch Dinge wie Firewall, Iptables etc. sollte nur via Shell gemacht werden, da ist die GUI viel zu umständlich und nur was für leute die nur mal 1-2 IPs sperren möchte.

Hier mal ein Link ohne die FW-GUI anfassen zu müssen, ganz Simpel:
http://www.myslug.de/index.php?title=Fi ... d_Fail2Ban

[Jolinar]

Nunja, also ich geh mal stark davon aus, wer als Admin KH benutzt, auch schon wissen sollte was er macht.

Dein Optimismus ist klasse.
Natürlich soll ein Adminpanel nur ein Hilfsmittel sein, um dem Admin die alltägliche Arbeit ein wenig zu erleichtern.
Die Realität sieht leider etwas anders aus. Viele (Hobby-)Admins sind der Ansicht, daß man sich mit einem solchen Adminpanel einen Server einfach "zusammenklicken" kann und erkennen nicht die Tatsache, daß das Panel kein Basiswissen ersetzen kann. Bei dem ersten kleinen Problemchen ist das Geschrei dann groß und oftmals wird dem Panel dann auch noch die Schuld gegeben, daß irgendwas nicht so funktioniert wie es eigentlich sollte.
Basiswissen ist unabdingbar und notwendig, egal ob man ein Panel einsetzt oder (so wie ich z.B.) lieber am CLI arbeitet.

[hase]

@Jolinar,
Hurra, ich hab eine ein eigenen V-Server für 3,99 und jetzt betreibe ich Webhosting. Hobby-Admins sollte man gesetzlich verbieten
Spass bei seite, ich versteh schon was du meinst...
Aber meinst du wirklich das ein sog. "Hobby-Admin" mit der FW-GUI besser klar kommt? Ich vermute eher nicht! Denn es wird u.U. mehr Schaden angericht als alles andere. Und bei vielen Einträgen viel zu unübersichtlich.

Aber gut, das Konzept ist von KH mal so aufgebaut und ich nehme es so wie es ist. Trotzdem darf ich doch etwas kritik anbringen
Ich meine es ja nur gut...

[Tobi]

Ich gehe noch einen Schritt weiter. :p

Ich hätte bitte gern einen Direktlink von der Apache-Thread-Liste in den Firewall-Bereich.

"Diese IP für X Stunden sperren"

Auf der Firewall Seite gibt man dann nur noch die Anzahl der Stunden an und die Regel erstellt, aktiviert und löscht sich wieder automatisch sobald das Zeitfenster X abgelaufen ist.

[saugjunkie]

Ich gehe noch einen Schritt weiter. :p

Ich hätte bitte gern einen Direktlink von der Apache-Thread-Liste in den Firewall-Bereich.

"Diese IP für X Stunden sperren"

Auf der Firewall Seite gibt man dann nur noch die Anzahl der Stunden an und die Regel erstellt, aktiviert und löscht sich wieder automatisch sobald das Zeitfenster X abgelaufen ist.

ich will auch mal was sagen generell ich meide solche panele und installiere von hand das was ich brauche dies ist meisten apache php mysql postfix fertig das ist die basis. Im laufe der zeit kommt dann irgendwann b1gmail drauf und ein vpn dienst und wenn es ganz schlimm kommt nen counterstrike game server. Natuerlich kenne ich einige panels und habe sie auch schon installiert und gefummelt gerade wenn ich weiss den server hast du nur einen monat. Was ich aber in meinem leben noch nie installiert habe ist eine firewall ich hab auch nie mit fail2ban oder iptables gearbeitet was wahrscheinlich besser gewesen waere. Der Punkt fuer mich war/ist keyehelp zu installieren diese alten php versionen von denen ich aber bald den ruecken kehre.

Ich moechte garnicht behaupten das ich ein pro Admin bin sehe mich noch nichtmal als Hobby Admin. Nur was ich sehr gut kann ist googlen foren suche benutzen eher weniger . Was ich sagen will diese Firewall erschliest sich mir auch nicht und mache einen groesen bogen drumm muss ich mich ebend noch einlesen. Hoffe dann aber auf einen aha efeckt und auch wenn es nur ein spass war von Tobi und nicht ernst gemeint wurde ich mir so eine funktion wuenschen um es noch einfacher zu haben einfach aus der faulheit heraus.

Ich will aber auch nochmal ein lob an die entwickler raus hauen und einfach nur danke sagen ihr habt mit dem panel was bereitgestellt was andere panels die kostenlos bzw teilweise kostenlos sind in den schaten stellen.

MFG
Saugjunkie

[Jolinar]

Was ich sagen will diese Firewall erschliest sich mir auch nicht und mache einen groesen bogen drumm muss ich mich ebend noch einlesen.

Iptables und Fail2ban sind kein Hexenwerk. Eigentlich reicht schon die offizielle Doku (Manpage) aus, um das Prinzip dahinter zu verstehen, grundlegende Kenntnisse über Netzwerktopologie und Netzwerkprotokolle natürlich vorausgesetzt.

So ist es letztlich mit jedem Dienst, den man auf seinem Server installiert...Man muß verstehen, was da im Hintergrund passiert und man muß wissen, wie man den Dienst korrekt konfiguriert.

[hase]

Ich gehe noch einen Schritt weiter. :p

Ich hätte bitte gern einen Direktlink von der Apache-Thread-Liste in den Firewall-Bereich.

"Diese IP für X Stunden sperren"

Auf der Firewall Seite gibt man dann nur noch die Anzahl der Stunden an und die Regel erstellt, aktiviert und löscht sich wieder automatisch sobald das Zeitfenster X abgelaufen ist.

Was ich aber in meinem leben noch nie installiert habe ist eine firewall ich hab auch nie mit fail2ban oder iptables gearbeitet was wahrscheinlich besser gewesen waere.
MFG
Saugjunkie

Eine Firewall brauchst du auch nicht Unbedingt zwingend, aber fail2ban sollte schon sein! Alles andere kann man muss man aber nicht, weder Apparmor, Postgrey usw. sollte Standardmäßig installiert werden.

[Jolinar]

Eine Firewall brauchst du auch nicht Unbedingt zwingend, aber fail2ban sollte schon sein!

Du weißt aber schon, daß f2b die Firewall (iptables) braucht und nutzt, um seine Beschränkungen umzusetzen...?
Also wenn, dann beides oder garkeins.

Eine Firewall brauchst du auch nicht Unbedingt zwingend, aber fail2ban sollte schon sein! Alles andere kann man muss man aber nicht, weder Apparmor, Postgrey usw. sollte Standardmäßig installiert werden.

Das kann man so pauschal nicht sagen.
Wenn du nur einen kleinen Mailserver für Oma, Opa, dich, deine Frau und die Kinder aufsetzt und dazu vielleicht noch eine kleine Webseite (z.B. eine Fotogalerie, wo die Großeltern ihre Enkel bewundern können), dann wäre ein "Rundum-Sorglos-Paket" wie mit Kanonen auf Spatzen zu schießen.
Wenn du aber einen Server mit hunderten Webseiten und tausenden Postfächern administrierst, dann machen die zusätzlichen Schutzmaßnahmen durchaus Sinn.
Es kommt letztlich immer auf den Einsatzzweck und natürlich auch immer ein wenig auf die Vorlieben und den persönlichen Geschmack des Admins an.

[Tobi]

auch wenn es nur ein spass war von Tobi und nicht ernst gemeint

Upps. Da hast du mich falsch verstanden. Ich meinte das ganz ernsthaft.

Ich möchte wirklich so einen Direktlink.