Firewall Einträge

[Xcantion]

Ich habe meine Firewall UFW am laufen ..
scheint auch ganze Arbeit zu leisten!!

Meine ufw.log explodiert jedoch vor lauter Einträge:

Feb 15 23:50:04 MYNAME kernel: [ 293.071873] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=5.254.116.232 DST=IP.IP.IP.IP LEN=42 TOS=0x00 PREC=0x00 TTL=241 ID=38099 PROTO=UDP SPT=80 DPT=9987 LEN=22

Feb 15 23:50:24 MYNAME kernel: [ 312.746695] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=5.254.116.232 DST=IP.IP.IP.IP LEN=42 TOS=0x00 PREC=0x00 TTL=241 ID=39271 PROTO=UDP SPT=80 DPT=9987 LEN=22

Feb 15 23:50:44 MYNAME kernel: [ 332.750842] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=5.254.116.232 DST=IP.IP.IP.IP LEN=42 TOS=0x00 PREC=0x00 TTL=240 ID=62119 PROTO=UDP SPT=80 DPT=9987 LEN=22

Feb 15 23:51:04 MYNAME kernel: [ 352.785877] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=5.254.116.232 DST=IP.IP.IP.IP LEN=42 TOS=0x00 PREC=0x00 TTL=241 ID=41614 PROTO=UDP SPT=80 DPT=9987 LEN=22

Feb 15 23:51:24 MYNAME kernel: [ 372.749566] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=5.254.116.232 IP.IP.IP.IP LEN=42 TOS=0x00 PREC=0x00 TTL=241 ID=42616 PROTO=UDP SPT=80 DPT=9987 LEN=22

Feb 15 23:56:30 MYNAME kernel: [ 678.685110] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=94.249.217.100 DST=IP.IP.IP.IP LEN=75 TOS=0x00 PREC=0x00 TTL=55 ID=53758 PROTO=UDP SPT=53 DPT=37220 LEN=55

Feb 15 23:57:44 MYNAME kernel: [ 752.534516] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=66.135.59.227 DST=IP.IP.IP.IP LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=9214 PROTO=TCP SPT=40615 DPT=27017 WINDOW=0 RES=0x00 SYN URGP=0

Feb 16 00:05:41 MYNAME kernel: [ 1229.823728] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=188.138.1.218 DST=IP.IP.IP.IP LEN=40 TOS=0x10 PREC=0x00 TTL=118 ID=18655 PROTO=TCP SPT=13977 DPT=1200 WINDOW=44748 RES=0x00 SYN URGP=0

Feb 16 00:07:39 MYNAME kernel: [ 1347.748755] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=186.215.73.41 DST=IP.IP.IP.IP LEN=64 TOS=0x00 PREC=0x00 TTL=52 ID=9105 PROTO=UDP SPT=53 DPT=37220 LEN=44

Feb 16 00:11:17 MYNAME kernel: [ 1565.833896] [UFW BLOCK] IN=eth0 OUT= MAC=00:25:90:44:0d:0a:00:1b:c6:10:dc:02:08:00 SRC=1.161.23.14 DST=IP.IP.IP.IP LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=256 DF PROTO=TCP SPT=12200 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0

Jedenfalls scheinen oft die Ports: 9987 (Teamspeak), 8080 (http), 37220 (k.A), 1200, 53 (DNS) usw befallen sind .. 80, 8080, 53 und die TS Ports sind mit unter anderem am meisten befallen...
Meine frage dahingehend ist ... reicht der schutz? sollte ich vlt noch fail2ban mit einspannen und zumindest die TS3 Bots etc killen .... kann ich das System irgendwie entlasten usw. usw...

 

[PHP-Friends]

Was heißt denn "befallen"? Was hast du überhaupt vor? Was für ein effektiver Schaden entsteht dir im Moment bzw. was möchtest du verhindern?

 

[GwenDragon]

Klar hast du was in den Firewalllogs stehen, dein Server ist öffentlich erreichbar und Leute scannen eben nach Löchern.
Aber was ist an den Portconnects problematisch?
Geht dein System dadurch in die Knie? Oder ist dein Serverlog am nächsten Tag mehrere Gigabytes groß? Oder was?

Wenn ich dein Log interpretiere, blockieren doch die Regeln.

 

[Xcantion]

Klar hast du was in den Firewalllogs stehen, dein Server ist öffentlich erreichbar und Leute scannen eben nach Löchern.

Das ist mir klar!

Aber was ist an den Portconnects problematisch?
Geht dein System dadurch in die Knie? Oder ist dein Serverlog am nächsten Tag mehrere Gigabytes groß? Oder was?

In erster Linie ist daran nichts Problematisch.. und nein der Server geht von dem nicht in die Knie...

Wenn ich dein Log interpretiere, blockieren doch die Regeln.

Hab auch nicht das gegenteil behauptet...

Was heißt denn "befallen"? Was hast du überhaupt vor? Was für ein effektiver Schaden entsteht dir im Moment bzw. was möchtest du verhindern?

Hmm ich dachte das hätte ich eindeutig beschrieben...

Also hier noch einmal

Meine frage dahingehend ist ... reicht der schutz? sollte ich vlt noch fail2ban mit einspannen und zumindest die TS3 Bots etc killen .... kann ich das System irgendwie entlasten usw. usw...

Ich meine wirklich deutlicher kann man das schon fast nicht mehr beschreiben.. Wie gesagt meine frage war .. ob der Schutz reicht... oder ob ich weitere Maßnahmen ergreifen sollte... um Bots, eventuelle DDos´es etc vorzubeugen oder Sonstige Unannehmlichkeiten...

Wie gesagt meine Logs sind ellen lang zwar nicht gigabyte groß aber lang... tausende und aber tausende von scans allein schon auf dem TS Port 9987.. darum meine frage ob der Schutz so reicht...

Also wirklich deutlicher kann ich es schon nicht mehr schreiben....

 

[danton]

Fail2ban macht nichts anderes, als Firewall-Regeln zu erstellen -> aber die existieren ja bei dir bereits. Das ganze kann sogar kontraproduktiv sein - je mehr Firewall-Regeln du hast, desto mehr hat der Kernel zu tun, um diese abzuarbeiten (und ggfl. auf die Platte zu loggen) - was die Serverperformance (mehr oder weniger stark) negativ beeinflußt.

 

[Patschi]

Reiß dich mal lieber zusammen. Bei unklaren Fragestellungen kriegt man nun mal Gegenfragen gestellt, damit man dir eventuell etwas besser helfen kann - das ist kein Grund, hier nun am Rad zu drehen und unfreundlich gegenüber den anderen Mitmenschen zu werden.

Ob der Schutz reicht?
Keine Ahnung. Wirst du sehen, wenn es soweit ist.
Notfalls frag Chuck Norris. Der soll sogar Zwiebeln zum Weinen bringen können.

Fail2ban verwenden?
Wieso nicht? Kann nicht schaden.

System entlasten?
Komplette Festplatte formatieren: Ohne Betriebssystem & Anwendungen - hab gehört, dass braucht wenig Leistung.

DDoS & Co vorbeugen?
Kann man schwer vorbeugen. Mach dir keine Feinde. Hoffe und Bete viel, dass du nicht Opfer einer solchen unangenehmen Attacke wirst.

 

[GwenDragon]

Meine frage dahingehend ist ... reicht der schutz? sollte ich vlt noch fail2ban mit einspannen und zumindest die TS3 Bots etc killen .... kann ich das System irgendwie entlasten usw. usw...

Folgendes ist Tatsache: Nein, deine Firewallregeln reichen nicht aus! Das System wird belastet! Du solltest die Bots blockieren.
Wie du das machst, weißt du ja längst. Und was das bringt, darfst du gern selbst ausprobieren.