Steigende Anzahl an Login-Versuchen bei SSH

Das kann ich von meiner Seite nicht nachvollziehen. Wie gesagt, bei mir lag der Fehler darin, das die Regel 1. nicht zu vorderst kam und 2. an der falschen Verwendung von ACCEPT.

Hier mal ein Auszug meiner iptables.conf. Würde ich das nicht noch einmal protokollieren, sondern gleich droppen, sähe ich die garnicht mehr.

Sep 11 18:42:21 kernel: [26601.019673] IPT-FAIL2BAN-BAN: IN=eth0 SRC=193.227.194.209
Sep 11 18:42:22 kernel: [26602.058070] IPT-FAIL2BAN-BAN: IN=eth0 SRC=193.227.194.209
Sep 11 18:42:23 kernel: [26603.083090] IPT-FAIL2BAN-BAN: IN=eth0 SRC=193.227.194.209
Sep 11 18:42:24 kernel: [26604.106054] IPT-FAIL2BAN-BAN: IN=eth0 SRC=193.227.194.209
Sep 11 18:42:25 kernel: [26605.129892] IPT-FAIL2BAN-BAN: IN=eth0 SRC=193.227.194.209 
Sep 11 18:42:36 kernel: [26615.794687] IPT-APACHE---GEO: IN=eth0 SRC=15.160.206.135
Sep 11 18:42:51 kernel: [26631.168473] IPT-FIREHOL-L2--: IN=eth0 SRC=80.94.95.229 
Sep 11 18:43:18 kernel: [26657.667760] IPT-DDOS--ATTACK: IN=eth0 SRC=194.180.49.42

Hier die fail2ban.log

2025-09-11 16:22:24,527 fail2ban.actions        [69255]: NOTICE  [APACHE] Ban 193.227.194.209

Nachdem die IP gebannt wurde, taucht sie auch nicht mehr in dem LOG auf.

Überdies scheinen prallt das Meiste inzwischen ab, sodass ich nur noch ganz selten einen Kandidaten habe, der überhaupt noch nen Fehler hervorruft.

Im HASH:NET können sowohl einzelne IP's stehen, als auch ganze Netze. Daran liegt es nicht.

Quote from Sojan

Für ein Fazit ist es noch zu früh, mal schauen, was morgen alles im Log zu finden ist. Vielleicht hängt das auch mit den Unbans zusammen, dauert aber noch eine Weile, bis ich wieder welche habe.

Alles klar, warten wir bis morgen. Wenn Du Lust hast, kannst mir auch per PN mal Deine iptables-Regeln zukommen lassen, sofern es Dir hier zu viel ist.

Ich sags mal so, wenn im log nix mehr steht muss das kein gutes Zeichern sein. Es heist ja nur, das da nix mehr gelogt wird.

Quote from tomherb

Ich sags mal so, wenn im log nix mehr steht muss das kein gutes Zeichern sein. Es heist ja nur, das da nix mehr gelogt wird.

Da hast Du Recht. Sich in falscher Sicherheit zu wiegen, ist nie ein gutes Zeichen. Ich sehe ja was ankommt. Nur kommt kaum einer noch so soweit, dass er eine Aktion von F2B auslösen muss. Und das war ja das Ziel.

Quote from o-mobil

Moin,

hmm...bei einem Server würde ich prinzipiell nur die Ports nach Außen lassen, die ich auch brauche, alles andere ist hinter eine Firewall, das kann im Zweifel auch was einfaches wie iptables sein.

Und dann erstmal ALLES zu, und bestimmte benötigte Ports öffnet man dann. Fail2ban ist ein nettes zusätzliches Tool, aber kein Allheilmittel.

LG Olav

Aber wären unbenötigte bzw unbenutzte Ports nicht so oder so nach außen zu? Oder anders gefragt: In welchem Fall wäre denn ein Port von alleine offen, der nicht offen sein sollte bzw für den es keinen Dienst gibt, der aktuell läuft?

Ja bei einer richtigen FW ist alles zu von haus aus und du musst das aufmachen, was du brauchst.

Klingt einfach ist es aber sowas von ueberhaupt nicht und port auf oder zu ist ja nur ne Kleinigkeit um ne wirklich funktionierende FW zu habengehoeren da noch 1000 andere Dinge dazu.

Aber die reden hier eh alle von server die sie physisch garnicht besitzensonder nur im Netz.

Weis der Deibl was das soll.

Quote from o-mobil

hmm...bei einem Server würde ich prinzipiell nur die Ports nach Außen lassen, die ich auch brauche, alles andere ist hinter eine Firewall, das kann im Zweifel auch was einfaches wie iptables sein.

Das eine hat ja mit dem anderen wenig zu tun, das ganze Zeug erwischt dich ja auch bei geschlossenen Ports und das wollen wir ja unterbinden.

Quote from tomherb

Aber die reden hier eh alle von server die sie physisch garnicht besitzensonder nur im Netz.

Weis der Deibl was das soll.

Wenn du mir Hardware stellst setze ich das gern um, aber so potente Hardware die ich aktuell bei Hetzner habe, kann ich mir nun mal privat nicht leisten.

Das bräuchte ich: https://rollenspiel.monster/hardware_software/#main-server

Danke schon mal im Voraus

Quote from tomherb

Ja bei einer richtigen FW ist alles zu von haus aus und du musst das aufmachen, was du brauchst.

Klingt einfach ist es aber sowas von ueberhaupt nicht und port auf oder zu ist ja nur ne Kleinigkeit um ne wirklich funktionierende FW zu habengehoeren da noch 1000 andere Dinge dazu.

Aber die reden hier eh alle von server die sie physisch garnicht besitzensonder nur im Netz.

Weis der Deibl was das soll.

Ja, aber welche Ports wären das denn? Also welche Ports wären denn unter welchen Umständen offen, für die du dann eine Firewall brauchst, um sie wieder zu schließen? Unter welchen Umständen macht es also Sinn, Ports durch eine FW geschlossen zu halten, die ansonsten offen wären? Wieso sind diese Ports denn überhaupt offen?

Das ist nicht mit 3 Saetzen getan.

Angefangen bei der Netzwerkplanung, Architektur, DMZ, DNS etc.

Planung der FW, soft/HW welche Anforderungen habe ich u.v.m.

Planung Freigaben, Blockierungen

Planung der Regeln,

Planung vpn, ipsec, u.a.

Planung der Software im Netz und eren Portanforderungen etc.

Dazu kommt noch das eine falsch oder nicht richtig konfigurierte FW ein Sicherheitsrisiko darstellt.

Eine fundierte Kenntnis der Grundlagen der Firewall ist daher unerlässlich, um die Sicherheit deiner Daten und die Integrität deiner Systeme zu gewährleisten.

Aber ich glaube das eine naehere Erlaeuterung 1. den Rahmen sprengen und 2. sicherlich nichts fuer Anfaenger ist.

Quote from tomherb

Das ist nicht mit 3 Saetzen getan.

Angefangen bei der Netzwerkplanung, Architektur, DMZ, DNS etc.

Planung der FW, soft/HW welche Anforderungen habe ich u.v.m.

Planung Freigaben, Blockierungen

Planung der Regeln,

Planung vpn, ipsec, u.a.

Planung der Software im Netz und eren Portanforderungen etc.

Dazu kommt noch das eine falsch oder nicht richtig konfigurierte FW ein Sicherheitsrisiko darstellt.

Eine fundierte Kenntnis der Grundlagen der Firewall ist daher unerlässlich, um die Sicherheit deiner Daten und die Integrität deiner Systeme zu gewährleisten.

Aber ich glaube das eine naehere Erlaeuterung 1. den Rahmen sprengen und 2. sicherlich nichts fuer Anfaenger ist.

Display More

War das als Antwort auf meine Frage? Falls ja, verstehe ich die Antwort nicht. Ich will eigentlich nur wissen, welche Ports hier nach außen schützenswert wären. Also welche Ports wären denn in welcher Situation nach außen hin offen, ohne dass ein aktiver Dienst diese verwendet, der diese Ports ja dann auch braucht. Also in welchem Szenario wäre auf einem Linux-Server denn ein beliebiger Port einfach so offen und eine Firewall müsste den dann schließen?

Ich glaube wir reden vollkommen aneinander vorbei.

Ich spreche von einer FW die auch physisch vorhanden ist und du sprichst von irgendwelchen Tools, die sich FW nennen auf dem PC auf dem Du arbeitest.

Was da wo offen ist, haengt ja von Deiner Distribution ab und was die alles mitbringt.

Kannste eigentlich nur mit nem 2 PC pruefen, auf dem du z.b. Kali hast und dich da den vorhandenen Tools bedienst.

Postscanner und anderem. grundlegend kannst Dir eine Liste der Prozesse samt Ports angezeigen lassen .

netstat -tulpn

Was allerdings nicht heist, das es nicht noch andere gibt.

Prinzipiell jeder Port hat eine Zahl dazwischen 0 und 65535, die in drei Hauptgruppen fallen:
0–1023: Reserviert für gemeinsame Protokolle wie HTTP und FTP.
1024–49151: Für Anwendungen, die Sie installieren.
49152–65535: Temporäre Ports, die verwendet werden, wenn Apps mit einem Dienst eine Verbindung herstellen.

"einen kleinen privaten Server ging" heist eigentlich um eine Buechse die bei Dir steht mit oeffentlicher IP.

Also so verstehe ich das, das andere ist ein v-server und da ist klar, das der im Netz in einer Serverfarm steht.

Da die deutsche Sprache die praeziseste der Welt ist,kann es zu solch kleinen Missverstaendnissen kommen.

So ist das eigentlich entstanden das Missverstaendnis.

Ist ja auch nicht schlimm, ist ja geklaert. Alles gut.

Klasse, das freut mich sehr.

Hier mal etwas, was ich gestern morgen herausgefischt hatte. Die Logzeit betrug 6h. Hab mal alle geblockten IP's durch die Zonen geschickt.

Quote from Sojan

MyLibertad

Ich muss gestehen, bei meinem ersten Versuch hatte ich einen Gedankenfehler und habe alles aus DE gedroppt und den Rest der Welt zugelassen. Da musste ich dann über die Konsole meines Hosters das wieder in Ordnung bringen.

Ja diese Konsole ist bei solchen Experimenten Dein bester Freund.

Quote from Sojan

Muss ich bei der Erneuerung der SSL-Zertifikate etwas beachten oder funktioniert das trotz GEO-Blocking? Werden doch bestimmt nicht in DE ausgestellt.

Ich kenne Deine Firewallkonfiguration nicht. Die einfachste Möglichkeit um zu testen ob Verbindungen ausgehend funktionieren, ist wenn Du schlicht ein Update auf dem Server machst. Es sei denn Deine Updateserver sind in DE .

Aber beim GEOBLOCK geht es ja darum, dass nur neue Verbindungen von außen nach innen geblockt werden sollen nach Land, also nur INPUT. Lets Encrypt baut keine Verbindung zu Dir auf, sondern Dein Server zu denen. Das sollte also funktionieren. Aber wie gesagt, ich kenne Deine Config nicht.