...
Ergänze diese Datei "/etc/default/iptables" (mit z. B. nano als Editor) in/ab Zeile 62 mit den Zeilen:
# webmin -A INPUT -p tcp --dport 10000 -j ACCEPT
reboote und teste den Zugang zum Port 10000.
Anmeldungsdatum: Beiträge: 13922 |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 438 |
|
Anmeldungsdatum: Beiträge: 13922 |
Nein, löschen würde ich diese Datei nicht, denn es gibt evtl. einen Grund, warum diese Datei vorhanden ist ... und die genauen Zusammenhänge kennen wird auch nicht. Welche Konfiguration die bessere ist, weiß ich nicht. Aber wenn es zu deiner Zufriedenheit funktioniert, spricht nichts gegen diese iptables-Regeln. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 438 |
Ok, dann probiere ich das. Wird vermutlich funktionieren, denn mit manuellem Aufruf geht's ja auch. Aber dann... hinterlässt der andere Server ein ungutes Gefühl bei mir, dass er vielleicht "zu offen" ist... Ich werde wohl doch noch einmal auf einer Testmaschine ein iRedMail aufsetzen und aufpassen, ob es eine entsprechende Frage gibt. Danke bis hier, ich werde berichten. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 438 |
Ja, wie erwartet funktioniert das. Vielen Dank erstmal! 👍 ... und wie das grundsätzlich funktioniert mit IPTABLES hast Du mir ja oben verlinkt. Den Nachstell-Versuch mache ich dann in Kürze und werde berichten. Aber grundsätzlich markiere ich den Thread als gelöst. |
Anmeldungsdatum: Beiträge: 13922 |
Was ich aber nicht verstehe, ... wenn Du für beide Server iRedmail benutzt hast, warum werden nur auf einem Server, die iptables-Regeln benutzt? Hat das evtl. etwas mit fail2ban zu tun? Hast Du bei der Ausführung/Benutzung von iRedmail verschiedene Möglichkeiten/Optionen? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 438 |
Na, ich verstehe das erst recht nicht... 😎 Ich bemerke keinen Unterschied zwischen den beiden. Vielleicht noch das zur Historie: Ich habe zuerst nur einen Server aufgesetzt, für meine private Mail, um zu sehen, wie das überhaupt geht. Nachdem das funktioniert hat, habe ich den zweiten installiert, um meinen MSXCHG ablösen zu können. Kann es sein, dass der Server ohne IPTABLES "komplett offen" ist? Dass dort ACCEPT als Default verwendet wird? Ich spekuliere mal (deshalb die geplante Nachstellung): Vielleicht fragt der Installer ja: "Alle Ports offen / nur die Ports für iRedMail?", und ich habe unterschiedlich geantwortet? |
Anmeldungsdatum: Beiträge: 13922 |
Die default policy der INPUT chain ist dort auf ACCEPT, aber d. h. noch nicht, dass dieser Server "komplett offen" ist. ... wenn er kein "boder device" ist und sich hinter einem Router (als "border device") befindet, ist er durch NAT (bei IPv4) bzw. i. d. R. durch eine v6-Firewall (bei IPv6) auch geschützt. Wenn der Server direkt im Internet wäre (als "border device") und die Dienste (offene Ports) mit denen er lauscht bzw. aus dem Internet erreichbar ist, _richtig_ konfiguriert sind, ist der Server auch gut geschützt. Dein Server (oder Du?) wird ja auch nicht ins Beuteschema der "Spezialisten unter den Angreifern", passen, ... oder? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 438 |
Ja, ok, so meinte ich es wohl auch. Die Testnachstellung wird's vielleicht źeigen.
Ja, genau, so ist es. Dafür habe ich ja die OPNsense. 😀
Du meinst, dass ich kein "lohnendes Ziel" bin? Ja, das sehe ich auch so. |