Webserver richtig (und sicher) aufsetzen

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Warum beginnst du nicht einfach mal damit die Doku zu lesen? Wenn dir das Thema "richtig und sicher" wichtig ist, kommst du ohnehin nicht drum herum.

    Irgendwelchen Code aus dem Internet oder fertige sniplets hier aus dem Forum bringen dich nicht weiter, wenn du nicht verstehst was die machen.

    Zu deinem Imagemagick-Problem: warum suchst du dir nicht einfach einen Webhoster, der ein passendes Paket anbietet? Das ist nun wirklich nicht exotisch und (imho) deutlich sinnvoller als dies Gefrickel mit einem ausgelagerten RPi.

    Aus dem alll-inkl.com Glossar

    Zitat

    ImageMagick

    ImageMagick ist ein Softwarepaket zur Bildbearbeitung und kann bei ALL-INKL.COM unter PHP als CGI/FPM verwendet werden.

    Wenn du nichts zu sagen hast, sag einfach nichts.

    2 Mal editiert, zuletzt von llutz (14. Februar 2020 um 09:39)

  • Da kann ich nicht zustimmen. Man kann auch in der Praxis etwas sehen und sich dann in dessen Theorie einarbeiten. Ich verstehe viel besser, wenn ich etwas sehe (wie es richtig gemacht wird) und es dann selber Stück für Stück analysiere. Mit einem Link zu einer Dokumentation kann ich nichts anfangen, wenn mir die komplette Basis fehlt. Das ist von dir sicherlich nur gut gemeint, hilft mir aber nicht weiter. Ich finde diese Vorgehensweise allgemein in sämtlichen Foren wo es um Programmierung usw. geht falsch, denn es gibt verschiedene Lerntypen.

    EDIT: Ich habe mir sämtliche Alternativen angeschaut, aber die Scheiden leider alle aus. Webhoster mit Inkscape habe ich keinen gefunden. ImageMagick beherrscht einiges was ich brauche nicht und auch die Qualität lässt zu wünschen übrig. Auch wichtig zu erwähnen wäre, dass ich mich bestens mit Inkscape auskenne. Ich wollte auch die Gelgenheit nutzen und etwas "Linux und Webserver" für zukünftige Projekte lernen. Man muss ja mit etwas anfangen, wenn man Lust auf so etwas hat.

    Einmal editiert, zuletzt von Alice85 (14. Februar 2020 um 09:52)

  • Ich verstehe viel besser, wenn ich etwas sehe (wie es richtig gemacht wird) und es dann selber Stück für Stück analysiere.

    Und das "wie es richtig gemacht wird" bewertest du wie genau, wenn dir die notwendige Kenntnis fehlt?

    Und auch wenn du es nicht magst, die Anwort zu deiner Frage aus #21 steht unter https://httpd.apache.org/docs/2.4/howto/access.html

    Wenn du nichts zu sagen hast, sag einfach nichts.

    2 Mal editiert, zuletzt von llutz (14. Februar 2020 um 10:25)

  • Inwiefern soll mir die Startseite der verlinkten Dokumentation im Zusammenhang mit deiner Frage behilflich sein?

    Wenn ich mich weiter mit dem Thema beschäftige, wird die Dokumentation sicherlich noch sehr wichtig für mich werden, aber nicht um in das Thema einzusteigen. Das war schon mit PHP ein Fehler. Letztendlich habe einfach mit einem fertigen PHP-Skript angefangen, die Begriffe gegoogelt ("was bedeutet $var?") und so Stück für Stück gelernt. Heute komme ich mit der PHP-Dokumentation bestens zurecht.

    Zitat

    Und auch wenn du es nicht magst

    Das hat nichts mit mögen zu tun, aber lassen wir das.

    Einmal editiert, zuletzt von Alice85 (14. Februar 2020 um 10:29)

  • Kein Problem, aber ich kann auf solche Verweise verzichten, da für mich nicht Zielführend. Das ich durchaus selber in der Lage bin, mir selbst zu helfen, sollte aus einigen meiner Beiträgen ersichtlich sein.

  • Kann ich Apache2 nicht so einrichten, dass er nur mit dem Webhoster-Server kommunizieren darf?

    Du könntest mit iptables (oder gleichwertig) den Zugang zum lauschenden Port des apache2 so gestalten, dass _nur der_ Webhoster-Server z. B. eine NEW-Verbindung (mit dem syn-Flag) herstellen kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (14. Februar 2020 um 10:57)

  • Das mit den iptables sieht vielversprechend aus!

    Wäre das so richtig?

    Code
    ----------------------------------------------------------------------------------
    iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT           # Inbound SSH
    iptables -A INPUT -p tcp -s 172.217.16.195 --dport 80 -j ACCEPT # Inbound HTTP
    ----------------------------------------------------------------------------------
    iptables -A OUTPUT -o eth1 -j ACCEPT                            # Outbound via LAN
    ----------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT                 # SSH Port
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT                 # HTTP Port
    ----------------------------------------------------------------------------------
  • Wäre das so richtig?

    Hmm, ich denke nicht, dass das richtig ist. Wenn die default policy dieser chains ACCEPT ist, dann brauchst Du diese iptables-Regeln mit dem target ACCEPT, so nicht.

    Ich habe das bei mir so gelöst:

    Z. B. ein lauschender (destination-)Port auf meinem PI, der nur mit einem bestimmten source-Port aus dem Internet erreicht werden kann/soll:

    Code
    sudo iptables -t raw -I PREROUTING 1 -i <input-Interface> -p tcp ! --sport <source-Port> --dport <dest.-Port> -m conntrack --ctstate INVALID,NEW -j DROP

    auf dem Gerät im Internet, das auf den Port <dest.-Port> des PI zugreift, die iptables-Regel:

    Code
    sudo iptables -t nat -I POSTROUTING 1 -o <output-Interface> -p tcp --dport <dest.-Port> -m conntrack --ctstate NEW -j SNAT --to-source <interne-IP-Adresse>:<source-Port>

    Vorsicht, dass Du dich mit iptables nicht aussperrst.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich wollte eigentlich alle Regeln löschen und dann nur das erlauben, was ich wirklich brauche. ALso nach dem "Whitslist Prinzip" vorgehen.

    1.) Port 22 SSH über LAN erlauben

    2.) Port 80 HTTP für die Kommunikation zwischen Server und der FQDN vom externen Server erlauben

  • Ich wollte eigentlich alle Regeln löschen und dann nur das erlauben, was ich wirklich brauche. ALso nach dem "Whitslist Prinzip" vorgehen.

    1.) Port 22 SSH über LAN erlauben

    2.) Port 80 HTTP für die Kommunikation zwischen Server und der FQDN vom externen Server erlauben

    Nein, das ist nicht gut, denn Du brauchst ja z. B. auch DNS (UDP +TCP) oder Zugang zu Zeitserver, etc., usw.

    Die default Policy der OUTPUT chain sollte m. E. immer auf ACCEPT bleiben.

    Wenn Du sicher bist, dass Du ssh (hier Port 22) nur im LAN brauchst, dann könntest den sshd auch so konfigurieren, dass dieser nur auf einer internen IP-Adresse lauscht bzw. keine Portweiterleitung im Router konfiguriert wird.

    Wie willst Du FQDN mit iptables konfigurieren? So etwas kann ich nicht empfehlen.

    EDIT:

    Für sshd hast Du noch weitere Möglichkeiten, wie z. B.:

    Code
    from="pattern-list"

    in der ".ssh/authorized_keys"-Datei oder weil gegen die libwrap gelinkt, mit z. B. der hosts.allow-Datei.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (14. Februar 2020 um 13:06)

  • Wirklich?

    Ich würde gerne Apache2, PHP und MySQL installieren und wirklich nur den Webhoster als "Kommunikationspartner" zulassen, die dann via PHP kommunizieren. Was braucht es dafür genau? Alles andere möchte ich verbieten.

    Für Updates (Raspbian und Programme) lasse ich mir noch etwas einfallen wie z.B. das kurzzeitige deaktivieren der Blockade.

    Das mit dem SSH ist auch so konfiguiert. Ich habe den Port (22) nicht im Router freigegeben.

    Code
    SSH@root: nano /etc/ssh/sshd_config
    
    # Custom-SSH-Settings
    Port 22
    AllowUsers alice
    Protocol 2
    PermitEmptyPasswords no
    PasswordAuthentication no
    PermitRootLogin no
    MaxStartups 3:30:10
    • Offizieller Beitrag

    die dann via PHP kommunizieren

    Nur mal laut gedacht und ob es umsetzbar ist weiß ich auch nicht.

    Lokales RPi PHP-Skript = LS

    Webserver PHP-Skript = WS

    - LS fragt jede Minute (z.B. per Cronjob) bei WS an, ob es was zu tun gibt.

    - Falls nicht, antwortet WS mit "Nö".

    - Falls doch sagt WS zu LS "Lade Dir Datei xyz herunter, bearbeite das Zeusch und POSTe mir das Ergebnis wieder, gerne mit Prüfsumme!".

    - Gesagt, getan. LS läd herunter, bearbeitet und liefert an WS (oder ein zweite Skript WS2)

    - WS(2) nimmt das Päckchen und checkt die Prüfsumme und das Übliche...ob Code enthalten usw..

    Damit müsste WS die IP oder den Host von LS nicht kennen oder wo ist mein Denkfehler? :conf:

    //Nachtrag: Einen Webserver auf dem RPi brauchts damit imho auch nicht.

  • hyle

    Ich habe so etwas ähnliches bereits umgesetzt, aber es hat mir nicht gefallen.

    Ich habe für ein bestimmtes Verzeichnis (Webhosting-Server) ein Netzlaufwerk erstellt mit 2 weiteren Unterverzeichnissen, der dann auf meinem Computer wie ein Laufwerk aussahen. Dann habe ich mit einem Programm (war das WinSCP?) jede Sekunde prüfen lassen, ob neue Dateien im 1. Verzeichnis vorhanden sind. Wenn ja, wurden diese Datei/en vom SVG-Format ins PNG-Format konvertiert und ins 2. Verzeichnis verschoben. Nebenbei liefen nur 2 oder 3 Batch-Dateien die alte Dateien gelöscht haben usw. Das hat tatsächlich auch funktioniert aber....... Ich brauche die fertige Datei auf meinem Webhosting-Server, bevor das Skript zu ende gelaufen ist und da ist so nicht gut machbar. Als provisorische Lösung habe ich das Skript abfragen lassen, ob die PNG-Datei "da" ist und wenn nicht ein Delay-Loop hinzugefügt und das hat teilweise (für heutige Zeiten) zu lange gedauert.

    Danach habe ich es so gemacht wie ich es jetzt auch vorhabe (nur ohne Sicherheit) und da hat man nicht einmal im Ansatz etwas vom kleinen "Raspberry" in meinem Büro mitbekommen. Im Gegensatz zu jetzt, lief 99% des Sourcecodes sogar auf dem Raspberry. Auf dem Webhosting-Server war eigentlich nur der "HTML/CSS Anteil". Das Skript selbst war auf dem Raspberry. Das lief wunderbar.

    Es spricht doch nichts gegen einen Webserver der nur mit der einen IP kommunizieren kann? SSH ist so oder so nur Lokal (abgesichert) möglich. Mir gefällt da so (wenn ich das hinbekomme).

  • Es spricht doch nichts gegen einen Webserver der nur mit der einen IP kommunizieren kann? SSH ist so oder so nur Lokal (abgesichert) möglich.

    Zu 1, ich glaube nicht, dass das möglich ist. Zu 2, solange man seine CA vor Fremdzugriff sichern kann, ist SSH durchaus gut abgesichert. Sobald Du allerdings einen Standardport bedienst, und für Webserver ist das ja nun mal 80 und 443, geht die Post ab. Ich habe keinen Webserver im Einsatz, aber für einen anderen Zweck Port 443 zum WWW geöffnet und auf einen Server weitergeleitet.... und so (siehe spoiler) sieht es mit täglichen Besuchern auf diesem Port aus... manche nur mal kurz, irrläufer, andere durchaus sehr hartnäckig mit dem Begehr des Einslasses. Der erste Teil ist persistent geblacklistet, der zweite Teil dynamisch als unerwünschter Besucher enttarnt und temporär gesperrt. Und das ist jetzt hier der Auszug eines wirklich entspannten Tages, eines völlig unwichtigen privaten und unbekannten Systems.

    Sobald Du einen Standard-Port öffnest und einen Dienst installiert, der auf diesem Port mit einem Standard-Protokoll lauscht, wirst Du auch solche Besucher haben. Die Beschränkung nur auf Deinen Webserver irgendwo im Web halte ich für ein aussichtsloses Unterfangen.

    Spoiler anzeigen

    Journal accumulation blacklisted IPs with connection attempts yesterday:

    2 SRC=139.162.125.159

    1 SRC=216.218.206.84

    1 SRC=208.93.152.17

    1 SRC=198.108.66.89

    1 SRC=198.108.66.36

    1 SRC=185.53.91.28

    1 SRC=139.162.162.67

    Journal accumulation blacklisted IPs with connection attempts at last few days:

    20 SRC=185.53.91.150

    12 SRC=84.95.214.222

    10 SRC=139.162.125.159

    6 SRC=208.93.153.177

    6 SRC=208.93.152.17

    6 SRC=185.53.91.28

    5 SRC=71.6.232.7

    4 SRC=5.188.210.158

    3 SRC=198.108.66.195

    2 SRC=198.108.66.39

    2 SRC=198.108.66.196

    2 SRC=198.108.66.101

    2 SRC=184.105.247.247

    2 SRC=184.105.247.199

    2 SRC=184.105.139.103

    1 SRC=71.6.233.138

    1 SRC=71.6.232.9

    1 SRC=71.6.202.253

    1 SRC=71.6.146.186

    1 SRC=71.6.135.131

    1 SRC=23.225.183.234

    1 SRC=216.218.206.93

    1 SRC=216.218.206.85

    1 SRC=216.218.206.84

    1 SRC=216.218.206.83

    1 SRC=216.218.206.75

    1 SRC=216.218.206.74

    1 SRC=216.218.206.67

    1 SRC=216.218.206.121

    1 SRC=216.218.206.120

    1 SRC=216.218.206.109

    1 SRC=198.108.66.97

    1 SRC=198.108.66.89

    1 SRC=198.108.66.75

    1 SRC=198.108.66.64

    1 SRC=198.108.66.47

    1 SRC=198.108.66.36

    1 SRC=198.108.66.27

    1 SRC=198.108.66.235

    1 SRC=198.108.66.223

    1 SRC=198.108.66.217

    1 SRC=198.108.66.216

    1 SRC=198.108.66.212

    1 SRC=198.108.66.208

    1 SRC=198.108.66.201

    1 SRC=198.108.66.198

    1 SRC=198.108.66.194

    1 SRC=198.108.66.170

    1 SRC=198.108.66.168

    1 SRC=198.108.66.165

    1 SRC=198.108.66.151

    1 SRC=198.108.66.144

    1 SRC=198.108.66.108

    1 SRC=198.108.66.106

    1 SRC=198.108.66.105

    1 SRC=198.108.66.104

    1 SRC=184.105.247.250

    1 SRC=184.105.247.243

    1 SRC=184.105.247.240

    1 SRC=184.105.247.238

    1 SRC=184.105.247.235

    1 SRC=184.105.247.231

    1 SRC=184.105.247.227

    1 SRC=184.105.247.220

    1 SRC=184.105.247.208

    1 SRC=184.105.247.196

    1 SRC=184.105.139.87

    1 SRC=184.105.139.76

    1 SRC=184.105.139.115

    1 SRC=139.162.189.189

    1 SRC=139.162.162.67

    Journal accumulation temporarily banned IPs with connection attempts yesterday:

    27 SRC=198.50.171.152

    16 SRC=51.81.119.5

    8 SRC=51.81.1.97

    3 SRC=13.71.141.188

    1 SRC=165.76.165.145

    1 SRC=165.76.149.143

    1 SRC=165.76.134.177

    Journal accumulation temporarily banned IPs with connection attempts at last few days:

    103 SRC=66.70.181.31

    98 SRC=45.81.234.173

    48 SRC=51.89.176.239

    48 SRC=107.6.169.250

    44 SRC=51.81.112.223

    38 SRC=95.216.118.244

    37 SRC=147.135.83.14

    33 SRC=45.132.88.242

    27 SRC=198.50.171.152

    26 SRC=169.197.108.42

    26 SRC=107.6.183.226

    23 SRC=51.38.6.143

    23 SRC=147.135.83.13

    20 SRC=51.81.21.223

    17 SRC=193.57.40.38

    16 SRC=51.81.119.5

    14 SRC=51.77.124.170

    13 SRC=147.135.121.66

    12 SRC=222.186.19.221

    11 SRC=162.248.88.138

    9 SRC=169.197.108.196

    8 SRC=51.81.1.97

    8 SRC=147.135.4.195

    7 SRC=54.39.209.226

    6 SRC=159.153.78.111

    6 SRC=142.44.223.231

    4 SRC=155.254.148.188

    3 SRC=51.81.119.15

    3 SRC=51.68.196.171

    3 SRC=192.99.58.75

    3 SRC=13.71.141.188

    2 SRC=70.33.128.214

    2 SRC=162.248.88.117

    1 SRC=165.76.165.145

    1 SRC=165.76.149.143

    1 SRC=165.76.134.177

    1 SRC=158.69.183.98

    Connection attempts yesterday:

    5.101.0.209 01. Feb. 2020 Sat 18:56:28

    5.101.0.209 01. Feb. 2020 Sat 18:57:15

    5.101.0.209 01. Feb. 2020 Sat 20:16:52

    51.91.212.81 01. Feb. 2020 Sat 15:22:01

    51.91.212.81 01. Feb. 2020 Sat 15:27:51

    83.97.20.35 01. Feb. 2020 Sat 04:23:48

    83.97.20.35 01. Feb. 2020 Sat 04:24:00

    83.97.20.35 01. Feb. 2020 Sat 04:24:12

    83.97.20.35 01. Feb. 2020 Sat 04:24:25

    96.126.100.87 01. Feb. 2020 Sat 06:15:33

    137.226.113.9 01. Feb. 2020 Sat 02:19:49

    176.58.124.134 01. Feb. 2020 Sat 19:16:16

    196.52.43.119 01. Feb. 2020 Sat 03:48:38

    196.52.43.120 01. Feb. 2020 Sat 22:54:22

    Connection attempts summary at last few days:

    5.101.0.209 01. Feb. 2020 Sat 18:56:28

    5.101.0.209 01. Feb. 2020 Sat 18:57:15

    5.101.0.209 01. Feb. 2020 Sat 20:16:52

    5.101.0.209 29. Jan. 2020 Wed 19:19:48

    5.101.0.209 29. Jan. 2020 Wed 19:22:51

    5.101.0.209 30. Jan. 2020 Thu 06:32:58

    5.101.0.209 30. Jan. 2020 Thu 19:40:32

    5.101.0.209 30. Jan. 2020 Thu 19:40:32

    5.101.0.209 30. Jan. 2020 Thu 21:10:39

    5.101.0.209 31. Jan. 2020 Fri 12:44:52

    5.101.0.209 31. Jan. 2020 Fri 12:48:36

    5.101.0.209 31. Jan. 2020 Fri 21:28:26

    23.95.84.50 28. Jan. 2020 Tue 17:12:04

    23.95.84.50 28. Jan. 2020 Tue 17:12:05

    35.238.186.63 29. Jan. 2020 Wed 10:22:11

    45.143.221.27 28. Jan. 2020 Tue 02:54:38

    45.143.221.27 28. Jan. 2020 Tue 03:23:30

    45.143.221.27 29. Jan. 2020 Wed 03:59:35

    45.91.226.239 30. Jan. 2020 Thu 04:42:36

    50.116.7.184 30. Jan. 2020 Thu 04:22:30

    51.91.212.80 29. Jan. 2020 Wed 01:31:26

    51.91.212.81 01. Feb. 2020 Sat 15:22:01

    51.91.212.81 01. Feb. 2020 Sat 15:27:51

    51.91.212.81 31. Jan. 2020 Fri 03:04:14

    52.53.191.89 30. Jan. 2020 Thu 14:09:14

    52.53.191.89 30. Jan. 2020 Thu 14:09:14

    54.241.155.171 29. Jan. 2020 Wed 03:18:27

    66.240.205.34 30. Jan. 2020 Thu 04:50:54

    74.82.47.4 29. Jan. 2020 Wed 05:50:17

    79.137.37.62 29. Jan. 2020 Wed 18:18:44

    83.97.20.181 29. Jan. 2020 Wed 13:53:07

    83.97.20.33 28. Jan. 2020 Tue 06:37:25

    83.97.20.33 28. Jan. 2020 Tue 06:37:26

    83.97.20.33 28. Jan. 2020 Tue 06:37:26

    83.97.20.33 28. Jan. 2020 Tue 06:37:26

    83.97.20.35 01. Feb. 2020 Sat 04:23:48

    83.97.20.35 01. Feb. 2020 Sat 04:24:00

    83.97.20.35 01. Feb. 2020 Sat 04:24:12

    83.97.20.35 01. Feb. 2020 Sat 04:24:25

    83.97.20.35 30. Jan. 2020 Thu 05:24:58

    83.97.20.35 30. Jan. 2020 Thu 05:25:00

    83.97.20.35 30. Jan. 2020 Thu 05:25:02

    83.97.20.35 30. Jan. 2020 Thu 05:25:04

    92.118.160.25 31. Jan. 2020 Fri 07:57:40

    92.118.161.25 28. Jan. 2020 Tue 14:15:32

    96.126.100.87 01. Feb. 2020 Sat 06:15:33

    104.152.52.18 29. Jan. 2020 Wed 22:01:52

    128.14.134.134 28. Jan. 2020 Tue 10:31:00

    128.14.134.170 28. Jan. 2020 Tue 17:05:21

    128.14.209.242 30. Jan. 2020 Thu 20:11:41

    137.226.113.9 01. Feb. 2020 Sat 02:19:49

    159.203.201.107 31. Jan. 2020 Fri 06:54:45

    163.172.184.251 28. Jan. 2020 Tue 19:35:31

    169.197.108.38 29. Jan. 2020 Wed 04:22:47

    169.197.108.6 28. Jan. 2020 Tue 04:06:05

    169.197.108.6 29. Jan. 2020 Wed 21:12:06

    176.58.124.134 01. Feb. 2020 Sat 19:16:16

    176.58.124.134 30. Jan. 2020 Thu 03:37:41

    178.32.76.141 28. Jan. 2020 Tue 08:19:24

    185.173.35.17 28. Jan. 2020 Tue 02:50:44

    185.176.27.114 30. Jan. 2020 Thu 02:08:41

    193.57.40.38 29. Jan. 2020 Wed 19:55:23

    193.57.40.38 29. Jan. 2020 Wed 20:04:30

    194.26.29.123 30. Jan. 2020 Thu 02:52:45

    196.52.43.104 30. Jan. 2020 Thu 02:45:58

    196.52.43.119 01. Feb. 2020 Sat 03:48:38

    196.52.43.120 01. Feb. 2020 Sat 22:54:22

    196.52.43.129 30. Jan. 2020 Thu 01:43:30

    222.186.19.221 28. Jan. 2020 Tue 01:30:35

    Connections accept summary at last few days:


    VPN-Access - Festgestellt: So 2. Feb 00:01:03 CET 2020


  • Ich habe mittlerweile folgendes getan (zum testen).

    PHP (Webhosting-Server)

    Port 22 ist im Router für den Raspberry freigeschaltet.

    Code
    iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX --dport 22 -j ACCEPT # Meine lokale Netzwerk-IP
    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    Das Skript meldet "Ping 0".

    Code
    iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX --dport 22 -j ACCEPT # Meine lokale Netzwerk-IP
    iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX --dport 22 -j ACCEPT # Webhosting-Server IP
    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    Das Skript medet "Ping 1".


    Zusätzlich zu der Firewall könnte man doch Apache2 noch zusätzlich schützen (IP + Name + Passwort) oder?

  • Code
    iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX --dport 22 -j ACCEPT # Meine lokale Netzwerk-IP
    iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX --dport 22 -j ACCEPT # Webhosting-Server IP
    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    Das Skript medet "Ping 1".


    Zusätzlich zu der Firewall könnte man doch Apache2 noch zusätzlich schützen (IP + Name + Passwort) oder?

    Wenn sich die source-IP-Adresse mit der Du auf den apache2 zugreifst nicht ändert, dann kannst Du das machen.

    BTW: Warum brauchst Du diese iptables-Regel in der FORWARD chain? Es wird doch kein Traffic über deinen PI weitergeleitet, oder?

    EDIT:

    Wie ist die default policy der INPUT bzw. der FORWARD chain?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • rpi444

    Wie "sicher" wäre das denn? Wenn ich "Thomas" richtig verstehe überhaupt nicht!? =O

    Ob die IP-Adresse sich ändert, werde ich gleich erfahren. Ich habe den Support angeschrieben und gefragt. Aber selbst wenn es so wäre, könnte ich es "lösen". Ich könnte mir täglich (CronJob) die IP-Adresse zuschicken lassen und wenn sich etwas ändert einfach manuell bearbeiten. Vielleicht sogar automatisiert.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!