Hallo,
kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?

Also es werden vorher alle Verbindungen erlaubt, aber eine IP wird IMMER gedroppt.
Wenn ich diese IP eintrage, kann sie immernoch eine Verbindung mit dem Server eingeben.

Normal müsste ich doch in den IP-Tables jede ip/port einzelnd erlauben oder?

MFG

kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?
Ja, das geht. Du musst die Regel lediglich eintragen, bevor du alle Verbindungen erlaubst. Die Regeln werden nacheinander durchlaufen.


Normal müsste ich doch in den IP-Tables jede ip/port einzelnd erlauben oder?
Das kommt ganz auf deine Regelsätze an.

PS: http://de.wiktionary.org/wiki/einzeln

Erstmal danke für die schnelle Antwort.
Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?

Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?
Ja, warum auch nicht? Irgendwo wirst du ja ein paar Aufrufe von `iptables` stehen haben. Deren Ordnung kannst du doch verändern, oder?

Hallo,
kann ich irgentwie auf meinem Server eine IP-Adresse, bzw. einen Range sperren, wenn ich vorher alle Verbindungen zugelassen habe?

Also es werden vorher alle Verbindungen erlaubt, aber eine IP wird IMMER gedroppt.


"iptables -A" vs. "iptables -I"

//richard

Erstmal danke für die schnelle Antwort.
Kann ich die Position, in der die Regeln stehen, selber festlegen, bzw verschieben etc?Leider geht es nicht dass man Positionen angibt. Die Reihenfolge der iptables Regeln entscheidet sowie ob Du -A (append) oder -I (insert) benutzt. -A haengt am Ende der Regeln an waehrend -I an Anfang der Regeln einfuegt. Wenn Du also schon fertige Regelsaetze hast musst Du nur mit -I die einzelne IP blocken.

Leider geht es nicht dass man Positionen angibt.

warum sollte das nicht gehen?


-I, --insert chain [rulenum] rule-specification
Insert one or more rules in the selected chain as the given rule number. So, if the rule number is 1, the rule or
rules are inserted at the head of the chain. This is also the default if no rule number is specified.

-R, --replace chain rulenum rule-specification
Replace a rule in the selected chain. If the source and/or destination names resolve to multiple addresses, the
command will fail. Rules are numbered starting at 1.


//richard

Okay, jetzt weißt ich wei es geht, vielen dank :)

Eine frage noch, kann ich mit netstat die mac Adresse einer Verbindung mir anzeigen lassen? Also wenn ich die IP habe.

Okay, jetzt weißt ich wei es geht, vielen dank :)

Eine frage noch, kann ich mit netstat die mac Adresse einer Verbindung mir anzeigen lassen? Also wenn ich die IP habe.

würde mich sehr wundern weil nicht garantiert ist, dass jede verbindung über ethernet kommt.
in 99% alles fälle würdest du dann ja die mac von deinem router sehen...

//richard

warum sollte das nicht gehen?...Oha - das war mir nicht bekannt. Man lernt eben nie aus :rolleyes:

würde mich sehr wundern weil nicht garantiert ist, dass jede verbindung über ethernet kommt.
in 99% alles fälle würdest du dann ja die mac von deinem router sehen...

//richard

Das reicht ja, da man die dann Sperren kann. MAC ist halt eindeutiger als IP. So kann man diesen möchtegern TeamSpeak Hacker die MAC sperren in den IPTables und nicht die IP, die die ganze zeit geändert werden kann.

Das reicht ja, da man die dann Sperren kann. MAC ist halt eindeutiger als IP. So kann man diesen möchtegern TeamSpeak Hacker die MAC sperren in den IPTables und nicht die IP, die die ganze zeit geändert werden kann.

im internet gibt es keine mac-adressen.
darum wirst du ja dann immer nur die mac von deinem router sehen.

mach deinen teamspeak-server doch einfach nur noch via vpn erreichbar.

//richard

Meine TeamSpeak Server benutzen ja nicht nur ich und meine Freunde, da sind sehr viele leute drauf, und bei jedem dann ne VPN einzurichten, wobei die Leute das eh nicht verstehen.

So muss man halt den Server etwas besser absichern^^.
Naja, in ein paar Jahren hat sich IPv6 eingelebt, hoffe ich :)

Hoffentlich hast Du Dich dann auch in die Welt der Netzsicherheit eingelebt...

Nur btw: Auch MACs lassen sich ändern. Ob Dein Klientel das aber kann, wenn es mit VPN schon überfordert ist...

Kreol

im internet gibt es keine mac-adressen.
darum wirst du ja dann immer nur die mac von deinem router sehen...
Wie schon derRichard schrieb - eine Mac wirst Du nicht mehr sehen. Das ist ein NetzwerkLayer unter Dir. Dein Filtering muss und kann nur auf IP Ebene funktionieren.

Wie schon framp und derRichard schrieben: MAC-Adressen sind nur innerhalb eines Netzes sichtbar.

Gleiches gilt fürs Absichern. Deine letzten Threads behandelten immer wieder irgendwelche Grundlagen. Du bist einfach nicht fähig mit einem Server umzugehen. Das hast du mehrmals unter Beweis gestellt.

Wie schon framp und derRichard schrieben: MAC-Adressen sind nur innerhalb eines Netzes sichtbar.

Gleiches gilt fürs Absichern. Deine letzten Threads behandelten immer wieder irgendwelche Grundlagen. Du bist einfach nicht fähig mit einem Server umzugehen. Das hast du mehrmals unter Beweis gestellt.

Lass das mal meine Sache sein, wie ich meinen Server verwalte. Das entscheide ich immernoch wie ich es mache.

Folgende Regeln verlangsamen automatische Attacks und machen sie unattraktiv. Vielleicht is das was fuer Dich ;)

iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --set --name TS
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1200 --hitcount 2 --rttl --name TS -j LOG --log-prefix TS_brute_force
iptables -I INPUT -p tcp --dport xxx -m state --state NEW -m recent --update --seconds 1200 --hitcount 2 --rttl --name TS -j DROP

Das entscheide ich immernoch wie ich es mache.


bzw. der, der deinen server hackt, weil er nicht gut gesichert ist ;)

//richard

Mein Server ist und wird aber nicht gehackt, soviel dazu ;)

Das sagten schon viele...

Meine Lieblingsgeschichte
http://be-jo.net/2011/10/vserver-erfahrungen-eines-einsteigers/

Der Bericht ist 1000 mal besser als root-und-kein-plan.de.