Hello, Guest the thread was viewed4k times and contains 17 replies

last post from Gamepower at the

Aussperrschutz, wenn man an der Proxmox Firewall (iptables) rumschraubt

    Wer kennt das nicht, man will die PVE Kiste securen und erstellt Rules in den iptables.

    Plötzlich hat man sich selber ausgesperrt. Ärgerlich und kann dann nur noch mittels Rescuemodus behoben werden.

    Bei grossen Kisten mit vielen VMs ist das nicht sonderlich toll >> Kiste runterfahren = Alle VMs tot.

    Habe mir ein Script geschrieben, welches alle 15min die Firewall ausschaltet.

    Bevor man also rumschraubt, diesen Cronjob aktivieren.

    Wenn man es verkackt, wird man spätestens nach 15min wieder Zugriff haben, ohne Reboot.

    Läuft bei mir auf PVE 6. Ich denke, das wird auch auf PVE 5 laufen.

    Nach getaner Arbeit und die Firewall sauber läuft, einfach nur den Cronjob kommentieren (mit # voran).


    dis.fw

    Quote from treki

    Habe mir ein Script geschrieben, welches alle 15min die Firewall ausschaltet.

    Wieso alle 15 Minuten? Wenn ich bei meinen Promox die Firewall ausschalte bleibt die auch aus .

    Betreibst Du den Host und die VMs im Privaten Umfeld würde doch die Firewall Deines Routers ausreichen oder ?
    Zudem wie kann Dich die Firewall aussperren? Du hast doch Zugriff über die Konsole ! direkt ! am Host und kannst dort direkt auf die

    entsprechenden Dateien und Dienste zugreifen und sie verändern .

    Ich rede von Servern, die irgendwo auf der Welt stehen!

    Da kannst nicht schnell an die Konsole hocken.

    Nix von privat zuhause ^^

    In meinem Fall wäre das ein Hetzner. Ok CH-DE geht noch ^^

    Aber wenn da viele VMs mit vielen Foren laufen, möchte man den nicht gleich in den Rescue-Mode rebooten, da dann alle Foren down sind.

    Wenn man die Firewall verkackt (und das kann schnell passieren) kann man Proxmox nicht mehr steuern, ausser man rebootet in den Rescue.

    Und ich rede vom PVE Node. Die VMs laufen munter weiter, auch wenn Du Dich ausgesperrt hast ^^


    Ich schreibe auch:

    Nach getaner Arbeit und die Firewall sauber läuft, einfach nur den Cronjob kommentieren (mit # voran).

    Sonst bringt die FW-Einstellung ja nichts.


    "Wieso alle 15 Minuten? Wenn ich bei meinen Promox die Firewall ausschalte bleibt die auch aus ."

    Wenn Du die einschaltest und eine falsche config drin hast, kommst auch nicht mehr drauf, um die FW auszuschalten!

    Das macht dann mein kleines Script für Dich.

    Wo aber Recht hast ist:

    Im Rescue-Mode kannst den entsprechenden Eintrag in der richtigen Datei ändern.

    Aber auch das ist nicht so einfach, wenn Du nicht zum Vorherein weisst, wo dieses Flag gesetzt ist.

    Hier hatte mal einer so ein Prob:

    https://dominicpratt.de/proxmox-firewall-deaktivieren/

    Auch am laufenden System hilft in der SSH Konsole pve firewall disable nix.

    Die ist gleich wieder aktiv ^^

    Weil eben in der cluster.fw Datei enable: 1 steht.

    Quote from paranoid64

    Also ich Betreiber selber seit 2007 Server. Aber ich kenne es nicht, dass ich mich selber mit IPTABELS ausgesperrt habe.
    Wenn dann mit den FailToBan, durch falsche Passworteingabe.

    Hast denn auch mal versucht, die Virtualisierungssoftware (sofern Du hast) abzusichern?

    Wenn nicht, brauchst sicher nie was an den iptables zu ändern.


    Ich betreibe erst seit 2012 Server. Ist mir aber schon passiert.

    Und bei laufenden Prod Systemen bin ich vorsichtig.


    Googelte lange und fand nur, dass man besser ein Script macht, welches die fw resetet. Aber konkret kam da nix raus.

    Also hab ich hier ein auf Herz und Nieren getestetes Script gepostet, welches ich selber geschrieben habe.

    Klar, ist nur klitzeklein. Aber getestet.


    OT:

    Habe auch schon grössere Scripts geschrieben ...LOL

    ZBsp hier: Download Statistik für proFTPd - Bash Script

    und noch weitere, welche aber hier nichts verloren haben.

    LOL

    Warum denn sowas machen, wenn man es einfach haben kann?


    Ich soll einen angreifbaren LXC mit privilegierten Rechten anlegen, nur um mich in mein System einhacken zu können, wenn ich bei einer einmaligen Konfiguration was verbocke....LOL

    Guter Witz.

    Na ja, ich denke halt wenn was mit dem Script nicht rundläuft (der Teufel steckt nicht nur im Detail sondern auch oft im System), hast Du dadurch

    noch eine weitere Möglichkeit der Einflussnahme. Aber Du machst das so wie Du für richtig hälst, sind nur Vorschläge von mir .

    Also ich weiß, was ich mache : ). Und ein Script, um die Firewall regel aufzuheben, da stellen sich für mich jegliche Haare auf. Klingt für mich er nach einer Hintertür.

    Man härtet was ab, um dann ein neues Schlupfloch zu erschaffen? Kann ich nur gratulieren.


    Na ja, jeder seins. Ich bin raus.

    Lies mal erst meinen Post richtig durch.

    Das Script soll nur solange aktiv sein, wie man an der FW rumbastelt.

    Wenn fertig bist, kannst es löschen, wobei der Cron ausschalten reichen würde. *


    Wer RICHTIG lesen kann ist immer noch im Vorteil!


    * Da kommt eh nur wer dran, der sich als root eingeloggt hat. Und da ist eh alles verloren.

    Das hier habe ich gelesen und kann es nicht glauben, dass dies dein erst sein soll:


    > Habe mir ein Script geschrieben, welches alle 15min die Firewall ausschaltet.


    Dann musst du schon genauer beschreiben, wenn andere was lesen sollen.

    Aber Firewall abschalten zählt für den gesamten Server nicht nur Root .


    Dein Script interessiert mich nicht. Weil, wenn ich schon Firewall abschalten lese, gehen sämtliche Alarmleuchten bei mir
    an. Wie ich schon sagte, was du nicht gelesen hast:


    > Na ja, jeder seins. Ich bin raus.


    Jeder kann machen, was er will. Es ist dein Server. Und da muss man nicht gleich unfreundlich werden.

    Meiner Meinung nach gehört dein "Script" entfernt, weil irgendeiner der google auf dieses Script kommt und dann das noch nachmacht und nicht weiß, was er da eigentlich macht.


    > Wer RICHTIG lesen kann ist immer noch im Vorteil!


    Da mal an die eigene nasse fassen und IPTABELS manuell lesen und nicht selber aussperren :P

    Du bist der Klugste. Ich weiss.

    Leider hast Du wahrscheinlich noch nie was von PVE oä gehört.

    Dass ich damit nur die Zeit absichere in welcher ich als Admin der HOST-GUI die Firewall einstelle begreiffst Du scheinbar nicht.

    Vielleicht auch, weil Du noch nie sowas absichern musstest. .htaccess geht nämlich in der PVE GUI nicht.


    Mann, Du nervst mich. Und bitte Mod, schliess diesen Thread.

    Diese Kack Woltlab SW erlaubt das ja nicht bzw ist so eingestellt.


    Leck mich am A. Dein Username passt. Bist Paranoid