Serverzugriff nur durch definierte IP

T

Tortuga

New Member
Hallo !

Ich habe mir gerade überlegt, ua. den Pleskzugang nur noch über eine vordefinierte IP zu erlauben. Nun bin ich Kabel-DL Nutzer und habe seit ca. 1 Jahr auch immer die gleiche IP. Selbst 6h offline haben nichts daran geändert.
Eine Supportanfrage welche IP-Range Kabel-DL nutzt, wurde dann recht abenteuerlich ohne eine brauchbare Auskunft zu erhalten. Aber Mühe hat man sich schon gemacht, da kann ich nicht mekkern ^^

Nur will ich mich nicht darrauf verlassen, denn plötzlich habe ich mich selber ausgesperrt. Nun habe ich mir überlegt, neben meiner IP von Kabel-DL auch noch als Reserve eine oder mehrere IPs von Proxyservern einzutragen die ich im Notfall nutzen könnte.

Nun möchte ich nicht den Bock zum Gärtner machen und irgendwelche Proxys eintragen. Da die meisten die gängigen Proxys nutzen um eher zu verchleiern und/oder anonym zu sein, hätte ich nun gerne einen Proxy der sicher, gut verfügbar ist (also nicht so Eintagsfliegen), vertrauenswürdig und bevorzugt in Deutschland steht und nicht in China ;)

Gibt es so etwas überhaupt kostenlos ? Alle bisherigen waren kostenpflichtig und z.B. 8 EUR im Monat nur als Notfallreserve ist bissl zu viel.

lg
 
Wie wär´s mit DynDNS, NoIP o.ä. ? Kannst doch per iptables den Port blocken und dann nur für den spezifischen Hostnamen freigeben.
 
Oder du installierst dir z.B. OpenVPN auf deinem Server und legst das Plesk-Panel auf eine nicht öffentliche IP. Somit kannst du dich dann nur mit einer gültigen VPN-IP via Plesk einloggen. Das ist m.A. die sauberste und auch sicherste Lösung.
 
Einfacher, aber wohl nicht ganz so schön durfte es sein, das Plesk-Interface nur an localhost zu binden(geht das?) und den Zugriff dann über ne SSH-Portweiterleitung zu ermöglichen.
 
Alternative (generell für alle Dinge, die man nur einer bestimmten IP zugänglich machen will): Port-Knocking.

Ausführlich hier: http://de.wikipedia.org/wiki/Portknocking

Der Port wird für deine IP geöffnet und ist ansonsten zu. Wenn du nun von einer anderen IP rankommen willst, musst du in einer bestimmten Reihenfolge SYN-Pakete an bestimmte Ports auf dem Server senden. Das kannst du im Zweifelsfalle mit einer Batch-Datei machen in der du in entsprechender Reihenfolge telnet mit dem entsprechenden Port aufrufst.
Wenn die Reihenfolge stimmt, geht ein Script her und öffnet für die richtig klopfende IP den Plesk-Port und du kannst jederzeit wieder ran.

Andererseits: Du schreibst, dass du bloß Plesk sperren willst. Da du SSH offensichtlich nicht weiter schützt, ist das doch egal, du kommst ja auch nach dem IP-Wechsel weiterhin auf den Server um notfalls die Firewall-Regeln zu ändern :rolleyes:
Oder du stoppst den Plesk-Dienst generell und startest ihn nur, wenn du ihn brauchst. Aber da solltest du die Plesk-Experten fragen, ob das so geht oder ob das negative Nebenwirkungen haben würde...
 
Erst einmal Danke für eure Antworten. @Lord Gurke - SSH ist natürlich gesichert ;) Dort ist Login nur via PubKey aktiviert. Es ging mir jetzt primär nur um das Webinterface von Plesk. Die Möglichkeit dann einfach die Regeln so zu ändern wäre Plan B gewesen. Habe nun den Zugriff auf das Plesk-Webinterface entsprechend abgesichert.

Was mich aber noch umtreibt ist nun das Webinterface vom "Virtuozzo Container". Der Zugriff läuft über Port 4643 aber die iptable-Regeln greifen hier nicht. Habe es mal Probiert, aber ohne Erfolg.

Gibt es hier Lösungsansätze für eine effektive Abschottung ? Ich finde das ist ja auch noch eine Sicherheitslücke ... oder zumindest ein recht schlecht gesicherter Zugang. Plesk selber schreibt keine vernüftigen Logs bei falschen Loginversuchen (Zumindest finde ich nichts bezw. werden diese Logs wohl auf den Wirt geschrieben, wo ich ja eh nicht drauf zugreifen kann). Im Grunde kann man sein System an allen Ecken absichern so gut es geht, aber wenn jemand in den Container kommt hat er absolut freie Hand.

Dann ist es auch kein Problem über den Dateimanager einfach einen eigenen Key einzusetzen und kann sich dann auch bequem mit Putty einloggen. Ich habe bereits im Netz gesucht, aber absolut nichts speziell für dieses Problem gefunden.

Ich verwende zwar entsprechend "sichere" Passwörter , aber würde hier dennoch ansetzen um die Sicherheit zu verbessern.
 
Das Virtuozzo PowerPanel (oder wie auch immer das aktuell richtig heißt), kannst du als Kunde nicht absichern. Das liegt ja auch nicht innerhalb deines Containers. ;)
Der Port wird mittels IPTables auf dem Hostsystem abgefangen und zu einem anderen System weitergeleitet. Ist also völlig ausserhalb deines Aktionsradiuses. Das einzigste was du da machen kannst, ist vernünftige Passwörter zu nutzen.
 
hmm habe so etwas schon vermutet :( Naja das Passwort ist schon "sicher" , aber eine andere Lösung wäre mir lieber gewesen. Dann muss ich damit wohl leben.

lg
 
Code: 
iptables -A INPUT -p tcp --dport 8443 -s [b]123.45.67.89(/subnet)[/b] -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -j REJECT
Somit bekommt jeder -außer Du natürlich- einen "Destination-Port-Unreachable"-Fehler zurück und derjenige/diejenige glaubt, dass Du gar kein Plesk benutzt. ;)
 
You must log in or register to reply here.
Back
Top