Was wollen die Inder von mir?

  • Ja, ich weiss... aber es ist nicht komplizierter als iptables... meiner Meinung nach ist es in der Handhabung sogar etwas einfacher. Wobei ich hier der Meinung bin, man kann es kompliziert handhaben und ein gutes Ergebnis erzielen... und man kann es aber auch sehr einfach handhaben und ein genau so gutes Ergebnis erzielen.

  • Beitrag von Frank86 (2. September 2023 um 06:51)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
  • ... Gründen (öffentliches WLAN / Hotel - Blockieren 1194) den Port 443 für OpenVPN eingerichtet. Ergebnis in 12 Stunden - ...

    Frage: Musst Du zwingend TCP benutzen? Es gibt auch UDP-Ports mit denen man ein "Schlupfloch" benutzen kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Beitrag von Frank86 (2. September 2023 um 13:52)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
  • ..., ist für 443 auch tcp einzustellen , oder nicht ?

    Ja, ... aaaber Du Könntest auch mit UDP testen und mit den Ports 123 (ntp) oder 53 (DNS).

    Und wenn es TCP sein muss, dann mit den Ports 853 (DoT) oder 53 (DNS)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Interessantes Thema. Da ich demnaechst ein paar Wochen in China sein werde ueberlege ich mein OpenVPN @ home zu nutzen. Momentan nutze ich den StandardPort 1194 mit UDP der sicherlich von der grossen chinesischen Mauer geblocked wird :wallbash: .

    Die Frage ist jetzt welcher Port hat die hoechste Wahrscheinlichkeit nicht geblocked zu werden. In China gibt es bestimmt genuegend ntp Server so dass die saemtliche auslaendischen ntp Server ohne Probleme blocken koennen. Aehnliches koennte ich mir fuer DNS vorstellen. Somit hat wohl TCP 443 die hoechste Wahrscheinlichkeit. Klar soll die Mauer auch statefull packet inspection koennen und wenn das erfolgreich ist ist auch TCP Port 443 aus China geblocked :(

  • ... Gründen (öffentliches WLAN / Hotel - Blockieren 1194) ...

    BTW: In welchem Teil der Welt befindet sich dieses Hotel?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Beitrag von Frank86 (3. September 2023 um 08:34)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
  • ... weiteren Kontakt mit der IP zu über 3s

    ... damit ein Log-Eintrag vom OpenVPN-Server, zustande kommt?

    Kannst Du evtl. die iptables-Konfiguration für fail2ban ändern/anpassen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Beitrag von Frank86 (3. September 2023 um 09:20)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
  • ..., dass fail2ban soweit funktioniert. Ist mir halt aufgefallen, dass über 3s nix gesperrt wird

    fail2ban muss erstmal eine "Anweisung" zum sperren bekommen. An "anderer Stelle" wird geprüft, dass bzw. ob eine IP-Adresse gesperrt wird.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ist mir halt aufgefallen, dass über 3s nix gesperrt wird

    Ich habe fail2ban auch auf einer meiner Raspberries aktiv. Dort habe ich maxretry=3. Normalerweise wird nach 3 Versuchen geblocked. Aber ab und zu sehe ich dass die IP erst nach bis zu 10 Versuchen von fail2ban geblocked wird. Ich denke das haengt davon ab wie schnell die Requests reinkommen. fail2ban braucht offensichtlich ein wenig Zeit um zu reagieren.

  • Es geht allgemein um die Blockierung von Ports

    Hast Du getestet ob der TCP-Port 853, aus dem Hotel erreichbar ist?

    Code
    nc -zv 1.1.1.1 853

    (oder gleichwertig). Wenn ja, kannst Du mal mit OpenVPN, auf dem TCP-Port 853 statt 443 versuchen. Du kannst auch im Vorfeld, auf deinem PI testen ob und wie häufig der TCP-Port 853 deines PIs aus dem Internet gescannt wird. Für den Test ist ein lauschender Dienst auf dem TCP-Port 853 _nicht erforderlich_, lediglich die Portweiterleitung in deinem Router zum PI bzw. kein blocken von Port 853 auf dem PI. ... und danach auf dem PI:

    Code
    sudo tcpdump -c 400 -vvveni eth0 tcp port 853

    (eth0 evtl. anpassen).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!