Raspi Runterfahren - Passwort Blödsinn

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Oh shit...:conf:... braucht man dafür einen Client? Ich hab die Seite einfach mit FF geöffnet... und ohne Paketfilter gehts ja.

    Ja, weil mit dem FF (Browser) die Ports 80 oder 443 benutzt werden. IRC-Client braucht man nicht zwingend, wenn man mit dem Browser zufrieden ist. Der IRC-Client wird die klassischen IRC-Ports benutzen. BTW: Du warst ja vorhin schon im Channel.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • 80 und 443 sind offen... und es macht keinen Unterschied, ob ich die 666* Ports öffne oder nicht ... sobald ich den Paketfilter aktiviere, kommt diese Socket-Fehlermeldung bei der Anmeldung und die Anmeldung failed. Flush ich den Paketfilter, dann gehts. Das ist merkwürdig...

  • Flush ich den Paketfilter, dann gehts. Das ist merkwürdig...

    Evtl. liegt es an der Position, an der Du in der OUTPUT chain, die entsprechende iptables-Regel einfügst.

    Versuch mit:

    Code
    iptables -I OUTPUT 1 ...

    EDIT:

    Hast Du in der INPUT chain, die RELATED/ESTABLISHED-Verbindungen evtl. auch blockiert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hast Du in der INPUT chain, die RELATED/ESTABLISHED-Verbindungen evtl. auch blockiert?

    Das ist die große Frage.... ich habe das mittlerweile auch festgestellt, dass anscheinend related Ports geöffnet werden. Und wenn das im übertragenen Sinne auch so sein muss, wie das früher bei FTP war, dass Ports >1024 mit NEW accept sein müssen, dann funktioniert das bei mir natürlich nicht....

    Speziell für FTP ist das bei mir heute über das Application-Layer-Gateway geregelt, weswegen diese Regel nicht enthalten ist... ich probiere das mal

  • oh man, was ist denn hier los...:conf:

    Ich kriege wieder mecker, weil das hier so ausschweifend ist :@

    Will denn nicht mal ein "Alter Hase" einen Speziellen "Labereckentread" aufmachen?

    Das Thema hier ist doch schon seid #75 als "erledigt" gekennzeichnet :danke_ATDE:

    Ich habe eine Raspi Beere 3 und freue mich, dass sie läuft. Ich programmiere gern und freue mich wenn es auch funktioniert. Aber grundsätzlich hab ich keine Ahnung davon :conf:

    Bitte löscht nie dieses Forum! Hier steht alles drin was ich mir merken muss!

  • Dukriegs kein Mecker und wens erledigt ist können wirs auch nicht mehr kaputt machen... *lol*

    rpi444, das war die Ursache, related Ports... also kann ich das mit meinem Paketfilter nicht nutzen, weil ich das Öffnen der unprivilegierten Ports >1024 ausschließe. Sachen gibts.... :conf:

  • Und wenn das im übertragenen Sinne auch so sein muss, wie das früher bei FTP war, dass Ports >1024 mit NEW accept sein müssen, dann funktioniert das bei mir natürlich nicht....

    Nein, so wie bei FTP muss das nicht sein. Die Verbindungen werden nur vom Client initiiert und vom Server kommt keine NEW-Verbindung.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Nein, so wie bei FTP muss das nicht sein. Die Verbindungen werden nur vom Client initiiert und vom Server kommt keine NEW-Verbindung.

    Merkwürdig.... related und established ist IN und OUT und FORW erlaubt. Damit funktioniert es sofort:

    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m conntrack --ctstate NEW -j ACCEPT

  • Damit funktioniert es sofort:

    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m conntrack --ctstate NEW -j ACCEPT

    BTW: Wenn Du die default policy einer chain auf DROP hast, dann musst man beachten, an welcher Stelle (Position) in der chain, eine mit "-A" hinten angestellte (als letzte Regel hinzugefügt) Regel wirksam werden kann. Evtl. trifft eine vorherige Regel in der chain zu, so dass die gerade hinzugefügte niemals wirksam werden kann.

    Siehe z. B. ob die counter der Regel noch "0" sind, mit:

    Code
    iptables -nvx -L OUTPUT

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich habe imho sehr "harte", aber ich denke, auch sehr unkomplizierte Regeln, völlig ohne Schnörkel... knallhart alles fliegt raus... *fg*.. meine Regeln zielen mehr auf die Kontrolle des Clients ab, und weniger auf Attacken von außen... was Aufgabe des Routers ist... entsprechend meiner Meinung, dass die Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.

    Da sind nur ne Handvoll expliziter Ports als einzige Ausnahmen erlaubt. Der Policy-DROP sollte eigentlich wg. dem letzten REJECT gar nicht greifen. Alles, was nicht related oder established ist, und auchg nicht als Port erlaubt ist, fliegt raus. Mit anderen Worten, es ist alles verboten, was nicht ausdrücklich erlaubt ist. Ich prüfe nicht mal auf NEW ab, ich verbiete einfach alles... und bei den Ports, die ich erlaube, ist es mir egal, ob NEW oder nicht NEW.

    Die INPUT-Rules sind prinzipiell genauso aufgebaut, aber noch weniger geöffnete Ports.... alles ist verboten... nur sehr wenige Ports sind erlaubt.... ebenfalls völlig schnörkellos.

    Einmal editiert, zuletzt von WinterUnit16246 (19. Februar 2018 um 16:15)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!