iptabels auf netclusive vserver

  • Thread starter Thread starter Tyler Durden
  • Start date Start date
T

Tyler Durden

Guest
Hallo zusammen,

habe mir grade nen vserver für private Zwecke (TS und Citadel) bei netclusive geholt, die sind grade unverschämt günstig. Ist ein kleiner, also RL1-V.

Da ich seit Jahren mit debian Servern arbeite und da am liebsten mit der bash, habe ich auf confixx dankend verzichtet.

Eines vorab: ich möchte jetzt keine Diskussion darüber hören, ob man eine Firewall braucht, oder nicht - ich brauche eine, weil ich keine Lust habe die Schleuder über Tage akribisch zu härten.

Als sich die Firewall im Virtuozzo Panel nicht starten und verwalten liess hab ich mir noch gedacht, das kann ich eh besser und hab shorewall installiert - geht nicht, weil iptables nicht funktioniert. Bei fwbuilder dasselbe Spiel, selbe Fehlermeldung. Die Meldung, lässt sich mit einer einzigen Zeile wiedergeben (ja ich hab aus Frust versucht mich auszuschliessen, da die Backup Funktion auch nicht funktioniert hätte das ein zurücksetzten bedeutet..):
Code: 
root@vhost:~# iptables -A INPUT -p tcp --syn -i venet0 -j DROP
FATAL: Could not load /lib/modules/2.6.9-023stab044.12-smp/modules.dep: No such file or directory
iptables v1.3.6: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
root@vhost:~#

Jetzt bin ich doch etwas verwundert - schon klar, ladbare module gibts auf nem vserver nicht, und vermutlich (hoffentlich) sind dann alle Module im Kernel einkompiliert, nur wie bekommt iptables das mit. Kann doch nicht sein, dass iptables nicht geht, nur weil das ein vserver ist.
Das ganze ist ein debian etch, iptables 1.3.6 und der kernel ist 2.6.9-023stab044.12-smp

Eigentlich bin ich mir sicher, dass ich meine Möglichkeiten ausgeschöpft habe und der Provider dringend tätig werden muss, oder hat noch jemand ne Idee, wie ich iptables zum mitspielen überreden kann?

mfg tyler
 
Hallo,

wenn du Debian Plain hast und da nur TS und Citadel drauf laufen wirst du wohl nicht tagelang brauchen um den Server abzusichern.

Eigener Kernel mit Sicherheitsfunktionen geht nicht und sonst würde ich eigentlich nur SSH auf Keyauth umstellen. Citadel kenne ich nicht vieleicht gibt es da ebenfals noch absicherungabedarf.

Zu deiner eigentlichen Frage. Bei mir Funktioniert IPtables wunderbar.
Ich habe die ganzen Filteregeln schön über Virtuozzo angelegt. Da kommt oft eine Fehlermeldung das es "fehlgeschlagen sei" was du aber ignorieren kannst. Am besten setzt du erstmal deine Firewall über Virtuozzo zurück in den Normalmodus und resetest die Filteregeln. Dann in den Erweiterten Modus gehen (egal welcher) und die Firewall um die entsprechenden einträge für Citadel & Ts erweitern.

Im übrigen hat mein Hostsystem folgende Kernelversion: "2.6.9-023stab044.12-smp"
 
bibabu said:
Hallo,

wenn du Debian Plain hast und da nur TS und Citadel drauf laufen wirst du wohl nicht tagelang brauchen um den Server abzusichern.
Click to expand...

Genau die Diskussion wollte ich ja eigentlich nicht führen.....wenn eine Firewall läuft muss ich nur ssh, TS und Citadel (incl Mailserver) absichern, wenn keine Firewall läuft müssen alle anderen Dienste deaktiviert werden und ggf noch manuell binairies gelöscht werden, alle sticky bits auf root suchen und entfernen, usw. Server härten ist ne höhere Kunst

bibabu said:
Zu deiner eigentlichen Frage. Bei mir Funktioniert IPtables wunderbar.
Ich habe die ganzen Filteregeln schön über Virtuozzo angelegt. Da kommt oft eine Fehlermeldung das es "fehlgeschlagen sei" was du aber ignorieren kannst. Am besten setzt du erstmal deine Firewall über Virtuozzo zurück in den Normalmodus und resetest die Filteregeln. Dann in den Erweiterten Modus gehen (egal welcher) und die Firewall um die entsprechenden einträge für Citadel & Ts erweitern.
Click to expand...


netclusive hat telefonisch schon zugegeben, dass sie ein Problem mit der Virtuozzo Firewall haben und ein Ticket bei swsoft offen haben. Auf eine Mail mit recht deutlichem Inhalt, hat netclusive schnell reagiert und mir einige iptables module aktiviert - damit kann ich jetzt iptables grundsätzlich konfigurieren (naja ein paar mehr module wären schon nett - BURST (um ssh Attacken zu begrenzen) z.B. wird nicht akzeptiert).
Und siehe da, auf einmal funktioniert auch die Firewall im Virtuozzo Panel (hab doch auch irgendwo gelesen, dass Virtuozzo auch auf iptables zurückgreift). Wie du sagst gibt es Fehlermeldungen, beim hinzufügen von Regel, die werden aber trotzdem aktiviert. Vorher war weder ein wechsel des Modus, noch ein reseten, noch ein hinzufügen von Regeln möglich. Und so schlecht ist die Virtuozzo Firewall dann doch nicht im advanced Mode - jetzt muss ich nur noch rausfinden in welche Richtung die Regeln abgearbeitet werden (die drop any any Regel steht ganz unten...d.h. vermutlich wird von unten nach oben angehängt).

Insgesamt kann ich sagen, dass ich positiv überrascht bin von dem Support - schnelle Reaktion und Lösung/Workaround geliefert....sind doch kompetente Admins am Werk, mein erster Eindruck war ein anderer.

mfg tyler

p.s.: Citadel ist das älteste BBS und wird seit über 20 Jahren kontinuierlich weiterentwickelt, mittlerweile eine vollständige Groupware:
The Groupware Server for Web 2.0 - Citadel.org
 
You must log in or register to reply here.
Back
Top