Linux Debian 10 - Firewall konfigurieren?

Ich habe einen Linux KVM mit Debian 10 und würde gerne eine Firewall konfigurieren. Hier gibt es nur wenige Punkte.

Länder sperren/drop

Ich betreibe einen Public Server, jedoch sind mir Traffic aus einigen Ländern unerüwnscht. z.B. China, Japan, Südkorea... wegem verdächtigen Traffic. Ich würde dies gerne sperren, kann man dies mit IPtables machen, oder xtables? Wenn ja, hätte da jemand weitere Erfahrungen?

Traffic von eingehenden Proxy Adressen automatisch sperren/drop

Ich würde gerne so weit möglich alle eingehenden Proxy Adressen welche vom System fremd sind, automatisch sperren lassen. Ist dies auch mit IPTables möglich?

ICMP sperren

Ich denke auch, dass es hier einen Weg geben würde.

Grüsse!

3 Antworten

Stadewaeldchen

24.06.2020, 21:26

Länder sperren/drop

Es gibt ein Projekt, das IP-Adressen nach Geodaten aufschlüsselt, dort kannst du die Adressbereichen ablesen und mit IP-Tables rausfiltern. https://www.geolocation.com/

Ich würde gerne so weit möglich alle eingehenden Proxy Adressen welche vom System fremd sind, automatisch sperren lassen. Ist dies auch mit IPTables möglich?

Versteh ich nicht ganz. Willst du jeden Verkehr sperren, der über einen Proxy bei dir ankommt? Das dürfte unmöglich sein, denn nach AUssen gibt sich der Proxy nicht als Proxy zu erkennen.

ICMP sperren

Hier sperrst du einfach das ICMP-Protokol:

https://www.crybit.com/iptables-rules-for-icmp/

ifoundabone

Fragesteller

24.06.2020, 22:31

Zum ersten Punkt: Wie genau funktioniert die Seite? Sehe nur, dass man Informationen aus IP Adressen rauslesen kann. Wie kann man damit Adressen sperren lassen, also wirklich nach Länder?

Stadewaeldchen

24.06.2020, 23:15

@ifoundabone

Scroll mal n bisschen runter, da findest du die Datenbanken mit den IP-Adressen.

jessicabaker

27.03.2023, 15:40

Hey,

eine andere gute Quelle für IPs pro ISP/Range/ASN wenn du zB einzelne ISPs/ASN oder Ranges sperren willst ist: https://ipbase.com

Jessica

Woher ich das weiß:Berufserfahrung

Thomasg

25.06.2020, 20:49

Punkt 1 kann man einfach ergoogeln:

https://hilfe-server.de/ips-ueber-geoip-blocken/

Punkt 2: du meinst vermutlich anonyme Proxyserver, welche gerne zur Umgehung von länderspezifischen Beschränkungen genutzt werden. Ist sicherlich auch mit iptables möglich. Dazu bitte Mal selbst googeln.

Punkt 3:

iptables -A INPUT -p icmp -j DROP

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

ifoundabone

Fragesteller

25.06.2020, 21:29

Bei den Ländern Sperre: Ich erhalte schon solche Fehler Meldungen, beim zweiten Befehl. :/ Debian 10 - https://i.imgur.com/5RJINSJ.png

Ich würde gerne alle Ports sperren, ausser folgende:

7 (tcp/udp)
2010 (udp)
9987 (udp)
30033 (tcp)

Am besten die Befehle via IpTables.

Und ich habe mir schon mehrere Tutorials angeschaut, oder sonstige Guides aber viele davon haben wenig bewirkt, quasi nichts.

Hat jemand Erfahrungen? Kennt ihr die richtigen Befehle?

Linux Debian 10
IpTables Linux

besten Dank

...zur Frage

Fremde Länder auf Linux Debian Server blockieren?

Ich würde gerne folgende Länder wie China, Vietman und so permanent von meinem Server sperren, so damit die IP Adressen automatisch keinen Zugriff mehr auf dem Server haben werden.

Kennt ihr Wege um dies zu sperren? Habe mich lang auf verschiedenen Foren erkundigt, jedoch nicht gerade mit viel Glück.

Und das xTables Addon von IPTables mit dem GeoIP Tool funktionierte auch nicht, weil während den Installationen ständig irgendwelche Dinge schief gehen.

MfG

...zur Frage

Linux IP Adressen blockieren?

Hi ich müsste folgenden Traffic auf meinem Linux System blockieren weiß aber nicht genau wie.

Wie kann man es so machen dass alles über Cloudflare laufen muss?

...zur Frage

Kali Proxy?

Ich versuche gerade einen Proxy über Kali Linux Einzurichten, jedoch finde ich keine gescheiden sockt4 oder 5 oder http Proxy kennt jemand gute gratis Proxy Adressen ?

...zur Frage

Debian Länder Sperren?

Wie kann ich auf meinen vserver gewisse Länder sperren bzw sagen lass nur Verbindungen aus land XY zu.

Die weitere frage ist dann wenn ich jz zb die USA sperren würde ob ich dann überhaupts Emails wo deren server evtl usa ist (facebook und gmail könnte ja sowas haben) überhaupts erhalte

Kenne mich angemerkt wenig aus miz iptables und co jedoch möchte ich zwingend mein server aufgrund vorkomnisse die nicht erwähnt werden absichern und gewisse ländern sperren

...zur Frage

Wie kann ich meinen SSH Port von außen blockieren mit iptables?

Hallo ich möchte meinen Port 22 so konfigurieren, dass er nicht von außen erreichbar ist, denn momentan könnte jeder der mein Passwort weiß auf mein System zugreifen. Ich muss aber trodzdem ohne Probleme Verbindungen eingehen können auf meine Server. Momentan steht dort "open" bei STATE allerdings muss dort "fitered" stehen. Desweiteren weiss ich nicht was der ipp Dienst dort ist kann ich den blockieren oder braucht man den? Ich weiss dass man mit Firewall Regeln viel Mist bauen kann wenn man sich nicht auskennt deswegen Frage ich lieber nach, ich freue mich über Rückmeldungen Danke!

...zur Frage

Ubuntu Traffic auf IPv6 leiten?

Hallo,

ich habe einen virtuellen Server bei Strato mit Ubuntu 20.04 LTS und möchte wohl das der ganze Traffic der auf die IP-Adressen der VPS auf meine öffentliche IPv6-Adresse meiner FritzBox geleitet werden. Die Firewall der FritzBox sollte den Verkehr auf ungebetenen Ports ja blockieren. Ich habe Zuhause keine öffentliche IPv4 und wollte über die eben beschriebene Methode abhilfe schaffen um meine WireGuard verbindung zu nutzen. Da WireGuard aber zufällige Eingangsport wählt, kann ich die nicht alle manuell hinzufügen. Ich habe in der Vergangenheit 6tunnel verwendet z.B für SSH verbindungen etc. Gibt es eine möglichkeit alle Ports bis auf Port 22 auf meine FritzBox umzuleiten?

...zur Frage

Raspberry Pi Firewall?

Hallo zusammen,

für ein Projekt benötige ich eure Unterstützung:

In meinem LAN (echtes Dual-Stack mit DynDNS) hängt ein Raspberry. Von der FritzBox aus wird dem Raspberry die IP 10.7.7.49/24 zugewiesen. Diese Adresse liegt an eth0 an. Der Raspberry dient aber auch als WLAN Client für andere Geräte. Über hostapd stellt er das Interface wlan0 zur verfügung. Hier gibt es folgende Adressen für die Clients: 10.8.8.0/24. Als AP ist er über die 10.8.8.1 erreichbar.

Für das Projekt ist es nötig, dass ich von extern auf einen Client des Raspberries (10.8.8.10) komme. Dieser stellt einen Webserver auf Port 8080 zur Verfügung. Sprich: Ich möchte mit meiner Domain (http://meine.domain:8080) auf den Port 8080 des Clients kommen.

Das mit der FritzFox, dem DynDNS und dem Reverse Proxy bekomme ich hin. Nur nicht die Weiterleitung von eth0 10.7.7.49:8080 auf wlan0 10.8.8.10:8080. Ich gehe schwer davon aus, dass ich hier an die "iptables" muss.

Kann mir jemand helfen? Welchen Befehl brauche ich hier?

...zur Frage

Kann nicht auf Miencraft Server joinen?

Hallo,

Ich hab einen Debian Linux v Server und hab drauf Minecraft laufen.

Ich wollt die start.sh Datei starten (mit VNC) hab ich auch gemacht mit

./start.sh

jedoch ist dann keine Rückmeldung gekommen.

Als ich dann auf den Minecraft Server joinen wollte kam dieser Fehler:

Could not connect to a default or fallback server. Incorrectly configured address/port/firewall?

Was kann ich jetzt machen das der Server wieder läuft?

Danke im Voraus

...zur Frage

Linux (Debian based Distro) 255 Error bei der Konfiguration von samba und samba-Common-bin?

Ich habe am System nach der Installation noch nichts verändert.

Ich habe nur

sudo apt-get update

und

sudo apt-get install samba samba-Common-bin

Die Installation wird aber abgebrochen mit dem Fehlercode 255 bei der Konfiguration (samba und samba-common-bin verbleiben unkonfiguriert bekomme ich als Meldung).

Wie kann ich es manuell konfigurieren bzw. den Error 255 bei der Konfiguration beim Installationsprozess vermeiden?

...zur Frage

Minecraft Server von Linux Homeserver freigeben?

Ich habe mir letztens einen Homeserver mit Debian 11 eingerichtet und einen Minecraft Server darauf installiert. Der Minecraft Server und alles andere läuft soweit, doch trotz Portfreigabe in der Fritz Box Oberfläche und auch in der Firewall des Servers (ufw) ist er nur aus meinem Netz erreichbar und von nirgendwo sonst (das gleiche gilt für SSH).

Ich habe auch schon eingenständige Portfreigabe und exposed Host ausprobiert, doch beides hat nichts gebracht.

Außerdem erscheint in Minecraft, sobald ich den Server mit einer Domain verbinde, die Meldung "Cannot resolve Hostname". Vielleicht hilft das bei der Lösungssuche.

Danke im Vorraus.

...zur Frage

NGINX Reverse Proxy sicher konfigurieren?

Hallo,

ich habe eine grundsätzliche Frage dazu, wie man NGINX sicher als Reverse Proxy einsetzt und leider nicht wirklich was dazu im Netz gefunden.

Mal angenommen auf Server A läuft eine Webapplikation, die auf 10.0.0.1:5000 hört und auf Server B läuft mein NGINX, der auf 10.0.0.2:80/443 hört. Ich möchte also von Server A zu B einen Reverse Proxy machen und die Verbindung soll mit TLS abgesichert sein.

upstream serverA {
    server 10.0.0.1:5000;
}

server {
    server_name example.org;
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

    location / {
        proxy_pass http://serverA;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Nginx-Proxy true;
        proxy_redirect off;
    }

}

... HTTPS redirect

Aber jetzt ist doch nicht der Traffic von Server B also dem NGINX, auf den der Nutzer zugreift zu Server A, der Webapplikation verschlüsselt oder liege ich da falsch? Falls er nicht verschlüsselt ist, wie erreiche ich das? Ist hier eine einfache Firewall Regel auf Server A schon ausreichend? Im Sinne von

ufw allow in from 10.0.0.2 to any port 5000/tcp

Danke für alle Antworten

...zur Frage

Ich möchte Softwareentwickler werden, was soll ich noch aneignen?

Werde dieses Jahr meine Ausbildung beenden. (einiges habe ich auch in der Freizeit angeeignet und werde es noch ausbauen!)

Folgene Programmierungspsprache/Scriptsprache habe in meiner Freizeit gelernt, da ich gern webbasierend entwickle: PHP/Perl/Javascript(Ajax) +HTML/CSS

In unserem Betrieb habe ich noch folgende Themen angeschaut und gelernt: VB.NET(ASP.NET), Powershell und Java

Datenbank : MySQL/Oracle DB/SQL Server

Hier nur die Grundlage OS: Linux (Ubuntu, Debian, ein wenig Red Hat) Firewall, VPN, Virtualisierung, Storage/SAN, Exchange (Archivierung), Monitoring (Lync/SSCM), Blade/Rack-Technolgie

Ich habe noch überlegt ob ich noch C/C++ und Ruby on Rail anschauen soll, bringt das etwas und welche Themen soll ich noch anschauen?

...zur Frage

OpenWRT: Routing in bestimmtes IP-Subnetz blockieren?

Guten Abend,

mein OpenWRT-Router (TL-WR841ND) hängt zum einen mit einer eigenen IP im Heimnetz, sodass er nur eine Bridge darstellt.

Allerdings habe ich auch ein 2. Subnet (10.0.2.0/28), welches virtuell erzeugt wird. Dieses routet dann durch das Heimnetz (10.0.1.0/26).

Nun handelt es sich bei dem 2. Netz um ein Netz, welches zwar ins Internet soll, aber halt nicht auf das 1. Netz zugreifen soll. Nun routet es aber auch dadurch um andere Dinge aufzurufen. Daher würde ich gerne eine Firewall-Regel mit iptables anlegen, welche zwar ein Routing durch das Netz erlaubt (um auf das Internet zuzugreifen), aber kein direktes Routing in das Netz 10.0.1.0/26. Wenn ich nun aus dem 2. Netz ins Internet will routet er durch 10.0.2.1 (OpenWRT-Router, VLAN2) und dann über meinen DSL-Router (10.0.1.1). Eine Bereichssperre von 10.0.1.2 - 10.0.1.62 bringt mir nichts, da ich auch das Routerinterface selbst sperren möchte.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen