You are not logged in.

Bestimmte IP Adresse(n) sperren

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

1

Wednesday, March 28th 2012, 12:19pm

Bestimmte IP Adresse(n) sperren

Moin, moin liebe Gemeinde,

ich habe mal eine Frage, wo ich jetzt nicht so recht weiß, wie man die am einfachsten umsetzt. Ich würde für unsere GameServer bestimmte IP-Adressen sperren wollen. Per .htaccess gaht ja nicht, weil auf unseren Servern ja kein Apache läuft sondern nur der reine GameServer Prozess. An IPTables traue ich mich irgendwie nicht so richtig ran :shaem2: und da war die Idee es über die Hosts Datei zu sperren. Nun ist die Frage: Wäre das überhaupt möglich/machbar?
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

This post has been edited 2 times, last edit by "Canc3lL0g0ut" (Mar 28th 2012, 12:26pm)

Drunkenmonkey

Trainee

Posts: 139

wcf.user.option.userOption53: Ja

  • Send private message

2

Wednesday, March 28th 2012, 1:18pm

Willst keine Datenpakete mehr annehmen oder gehts dir nur um den Ausschluss auf dem Gameserver?

Ich denke du willst mehr als nur auf dem Server bannen, sonst könntest du ja die Steam ID nehmen, bleibt die Frage:
was nützt es dir wenn die meisten eine Zwangstrennung haben und jeden Tag eine neue IP bekommen, da müsstest du ein Range Ban anlegen und da kann es sein, das du andere mit ausschließt.

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

3

Wednesday, March 28th 2012, 3:39pm

vielleicht hilft dir das da es auch gleich eine "test regel" beschreibt damit du dich beim hinzufügen neuer regeln nicht gleich für immer aussperst falls etwas schief läuft^^
http://wiki.hetzner.de/index.php/Security_Firewall

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

4

Wednesday, March 28th 2012, 5:25pm

Quoted from "Drunkenmonkey"

Willst keine Datenpakete mehr annehmen oder gehts dir nur um den Ausschluss auf dem Gameserver?

Ich denke du willst mehr als nur auf dem Server bannen, sonst könntest du ja die Steam ID nehmen, bleibt die Frage:
was nützt es dir wenn die meisten eine Zwangstrennung haben und jeden Tag eine neue IP bekommen, da müsstest du ein Range Ban anlegen und da kann es sein, das du andere mit ausschließt.

Es geht um einen Ausschluss auf dem GameServer. Es ist nur eine IP und die ist immer gleich. Bannen hatte ich auch schon überlegt, aber ich möchte nicht das der Spieler das mitbekommt - sondern einfach nur das er auf den Server nicht mehr connecten kann.
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

5

Wednesday, March 28th 2012, 5:36pm

Source code

 
1
2

iptables -I INPUT -p udp --dport 27015 -s 123.456.789.123 -j DROP
iptables -I INPUT -p tcp --dport 27015 -s 123.456.789.123 -j DROP

um die regel zu löschen einfach -I durch -D ersetzten.

This post has been edited 4 times, last edit by "MadMakz" (Mar 28th 2012, 5:50pm)

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

6

Wednesday, March 28th 2012, 5:55pm

Oha, oha ^^

ich weiß ja nicht mal ansatzweise welche Ports ich für CSS freigeben muss damit alles funktioniert. Steamserverliste, und der andere Schnödel das man den Server sieht und auch connecten kann. Deswegen traue ich mich da nicht so wirklich ran. Genauso die SSH und FTP Ports. Ich hab da richtig "Schiss" mir was zu versauen :(

Mit IPTables hab ich noch nie gearbeitet :) und ich hatte es bis jetzt auch noch nicht vor - bleibt mir aber als einziger Ausweg so wie ich das sehe :)
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

7

Wednesday, March 28th 2012, 6:02pm

auf einem root/dedizierten server musst du nichts freigeben da alles von vorn herein erstmal gar nicht gesperrt ist. das ändert sich erst durch manuelles einpflegen von regeln oder regeln dritter apps wie fail2ban.
es ist auch relativ sinfrei alle ports von vorn herein zu sperren da man über ports die onehin von keiner app benutzt werden sowieso nicht einbrechen kann.

aus meinem besipiel ersetze 27015 mit dem port den du im srcds mit -/+port spezifiziert hast. die 123.456.789.123 ersetzt du mit der (client) IP die gesperrt werden soll.

fertig.

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

8

Wednesday, March 28th 2012, 6:04pm

Asso, also wenn ich das richtig verstehe, installiere ich IPTables und ist alles frei. Wenn ich die IP sperre ist nur die IP von ihr gesperrt aber ich komme ohne Probleme drauf (SSH, FTP und so weiter). Außer ich definiere Regeln für SSH und FTP - richtig?
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

9

Wednesday, March 28th 2012, 6:05pm

iptables ist mit 99,99999%iger wahrscheinlichkeit sowie so schon auf dem server drauf da es ein standart kernel modul ist.

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

10

Wednesday, March 28th 2012, 6:07pm

Nee, ist nicht mit bei ... ist ein Debian 6.0.2 Minimal
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

11

Wednesday, March 28th 2012, 6:11pm

wäre mir neu. schreib mal

Source code

 
1

iptables -V
gefolgt von enter in die shell.

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

12

Wednesday, March 28th 2012, 6:16pm

Scheisse ;)

iptables v1.4.8

Ist ja doch installiert ;)

Muss man den Server neu starten wenn man eine Regel einträgt? Und muss ich UDP und TCP eintragen? Oder reicht nur eins davon?
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

MadMakz

Super Moderator

Posts: 1,878

Location: ~#

wcf.user.option.userOption53: Ja

  • Send private message

13

Wednesday, March 28th 2012, 6:27pm

nein. beachte aber das nur so die regeln nicht permanent gespeichert sind und bei einem reboot wieder gelöscht sind.

um die regeln permanent su speichern und automatisch zu laden kannst du das packet iptables-persistent installieren und alle aktiven regeln via iptables-save > /etc/iptables/rules speichern.

alternativ gibt es auch noch ein paar webui's mit denen man u.a. die firewall regeln verwalten kann. beispielsweise via webmin.

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

14

Wednesday, March 28th 2012, 6:30pm

Ahjo, OK, dann danke ich Dir für die Ausführliche Information ^^
Werds gleich mal draufbasteln ...
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

Canc3lL0g0ut

Professional

  • "Canc3lL0g0ut" started this thread

Posts: 881

Location: L.E.

Occupation: KiN im Betriebsdienst

wcf.user.option.userOption53: Nein

  • Send private message

15

Thursday, March 29th 2012, 11:14am

Ok, funzt einwandfrei ;) habs an einem Kumpel probiert. Hätte allerdings noch 2 Fragen:
  1. Wenn ich nur den TCP sperre, kann der Kumpel auf den Server und auch darauf spielen. Wenn ich UDP sperre, erscheint der Server in der Serverliste als "Server antwortet nicht". Gibt es eine Möglichkeit den Server trotzdem anzuzeigen das dann wenn man connectet die Meldung "Connection failed after 4 retries" kommt?
  2. Wenn ich eine IP Range sperre, was passiert dann genau? Zum Beispiel die IP des Spielers ist 123.123.111.122. Der Spieler selbst bekommt aller 24 Stunden eine andere IP wobei sich immer nur die letzten 2 Oktetts ändern. Mich würde hier interessieren wie hoch die Wahrscheinlichkeit ist, das er wieder auf den Server kann wenn ich mit 123.123.123.0/24 den Adressbereich sperre. Denn soweit ich informiert bin verhindert diese Konfiguration das sämtliche Datenpakete die mit der IP 123.123.123.XX beginnen, zurückgewiesen werden.
Aber an und für sich funktioniert das ganze super, nur leider bekommt der Spieler immer ne andere IP zugewiesen. Obwohl die letzten 3 Tage immer die gleiche IP am Start war.
24/7 Teamspeak³ Server:


Linux is like a wigwam → No windows. No gates. Apache inside.

1. Frage des Admin: was wurde vorher verändert?
2. Antwort des Users: nichts
3. Frage des Admin: was wurde verändert, bevor NICHTS verändert wurde?

Ene mene muh gebasht wirst du,
ene mene miste headOr durch die Kiste,
ene mene meck kaum siehste mich schon fliegste weg :D

This post has been edited 1 times, last edit by "Canc3lL0g0ut" (Mar 29th 2012, 12:29pm)

Similar threads