Jails bei Hetzner
- Ersteller martin
- Erstellt am
nakal
Anfänger
Den unbound kannst Du auf 127.0.0.10 horchen lassen (Alias auf dem Jail-Host; weiteres siehe local_unbound-rc.d-Skripte) und dann trägst Du im Jail /etc/resolv.conf entsprechend 127.0.0.10 ein. Dann hast Du schon mal DNS über den Jail-Host laufen und nicht über das Jail direkt ins Netzwerk.
martin
Well-Known Member
Zunächst mal danke nakal, werde das so umsetzen, schadet ja sicher nicht.
Dennoch glaube ich augrund der Logs nicht, dass die Pakete vom DNS kamen. Irgendwie kann ich mir immer noch keinen Reim daraus machen. In den Logs wird port 123 genannt, der anscheinend nicht erreichbar ist, was klar ist, weil ich im Jail keinen NTP laufen habe. Aber woher kam die Anfrage?
Kann es sein, dass die Pakete trotz nat deshalb an das re0 gelangen, weil re0 auch in den Jails als Interface verfügbar ist?
Gibt es eine Möglichkeit re0 in der rc.conf der Jails zu deaktivieren?
Dennoch glaube ich augrund der Logs nicht, dass die Pakete vom DNS kamen. Irgendwie kann ich mir immer noch keinen Reim daraus machen. In den Logs wird port 123 genannt, der anscheinend nicht erreichbar ist, was klar ist, weil ich im Jail keinen NTP laufen habe. Aber woher kam die Anfrage?
Kann es sein, dass die Pakete trotz nat deshalb an das re0 gelangen, weil re0 auch in den Jails als Interface verfügbar ist?
Gibt es eine Möglichkeit re0 in der rc.conf der Jails zu deaktivieren?
martin
Well-Known Member
Update, nach erneuter Sperrung wegen unerlaubter Pakete von 127.0.0.1:
nach der letzten Sperrung habe ich mir einige eurer Ratschläge zu Herzen genommen und folgendes gemacht:
- IP Adressbereich für Jails geändert von 192.168.0.0/24 auf 127.0.0.1/24 (alle aliase sind auf Interface lo0)
- ntp mit openntpd ersetzt
- openntpd ausschließlich auf die öffentliche IP Adresse XXX.XXX.XXX.XXX lauschen lassen (überprüft per sockstat)
mit diesen Änderungen ging die Sache für ca. 1 Woche lang gut, heute wurde das Ding erneut gesperrt. Irgendwie scheint meine MySQL Jail DNS Anfragen nach "drausen" zu schicken, was eigentlich gar nicht sein kann. Hier mal ein sockstat von der Jail, die anscheinend die Probleme macht:
Kann sich das Verhalten jemand erklären? Ich weiß leider keinen Ausweg mehr, außer über pf zu versuchen sämtlichen Traffic auf port 123 zu blocken. Dazu würde ich folgende Regel in meine pf.conf übernehmen:
block quick from 127.0.0.0/24 to any port 123
Hat jemand vielleicht sonst noch einen Vorschlag, was ich noch probieren könnte (evtl. auch mit pf)?
nach der letzten Sperrung habe ich mir einige eurer Ratschläge zu Herzen genommen und folgendes gemacht:
- IP Adressbereich für Jails geändert von 192.168.0.0/24 auf 127.0.0.1/24 (alle aliase sind auf Interface lo0)
- ntp mit openntpd ersetzt
- openntpd ausschließlich auf die öffentliche IP Adresse XXX.XXX.XXX.XXX lauschen lassen (überprüft per sockstat)
mit diesen Änderungen ging die Sache für ca. 1 Woche lang gut, heute wurde das Ding erneut gesperrt. Irgendwie scheint meine MySQL Jail DNS Anfragen nach "drausen" zu schicken, was eigentlich gar nicht sein kann. Hier mal ein sockstat von der Jail, die anscheinend die Probleme macht:
Kann sich das Verhalten jemand erklären? Ich weiß leider keinen Ausweg mehr, außer über pf zu versuchen sämtlichen Traffic auf port 123 zu blocken. Dazu würde ich folgende Regel in meine pf.conf übernehmen:
block quick from 127.0.0.0/24 to any port 123
Hat jemand vielleicht sonst noch einen Vorschlag, was ich noch probieren könnte (evtl. auch mit pf)?
martin
Well-Known Member
@nakal
nein, mit rdr werden lediglich die Ports 22,25,80,443,465,993 weitergeleitet, sonst nichts.
Momentan habe ich den openntpd lediglich auf die öffentliche IP Adresse gebunden, die sich wiederum auf dem re0 Interface befindet. In keiner der Jails (die alle auf dem lo0 Interface sind) habe ich ntpd laufen.
@TCM: ok, da brauche ich jetzt etwas Hilfe in der Umsetzung in meiner pf.conf. Damit ich von den Jails aus Updates einspielen kann, hatte ich bis dato folgende Regel => pass out all keep state
udp Anfragen auf port 123 wurden also zugelassen, das würde ich jetzt folgendermaßen anpassen/ersetzen => pass out from any to any port { 21 80 443 } keep state
Hier mal meine pf.conf, für Ratschläge, Ergänzungen, Korrekturen bin ich sehr dankbar!
nein, mit rdr werden lediglich die Ports 22,25,80,443,465,993 weitergeleitet, sonst nichts.
Momentan habe ich den openntpd lediglich auf die öffentliche IP Adresse gebunden, die sich wiederum auf dem re0 Interface befindet. In keiner der Jails (die alle auf dem lo0 Interface sind) habe ich ntpd laufen.
@TCM: ok, da brauche ich jetzt etwas Hilfe in der Umsetzung in meiner pf.conf. Damit ich von den Jails aus Updates einspielen kann, hatte ich bis dato folgende Regel => pass out all keep state
udp Anfragen auf port 123 wurden also zugelassen, das würde ich jetzt folgendermaßen anpassen/ersetzen => pass out from any to any port { 21 80 443 } keep state
Hier mal meine pf.conf, für Ratschläge, Ergänzungen, Korrekturen bin ich sehr dankbar!
Jails in 127.0.0.0/8 zu legen ist keine gute Idee. Nimm dafür besser etwas aus RFC1918, wenn du keine public IPv4 Adressen mehr hast und nur IPv6 nicht reicht.
martin
Well-Known Member
wenn ich das mache, kann ich in den Jails die Ports nicht updaten, oder verstehe ich das falsch?
nakal
Anfänger
Hmm? Warum? Die Idee war ursprünglich zwar nicht von mir, aber sie ist super und erprobt. Cool ist, dass man beim Einbruch ins Jail nicht so einfach ans LAN kommt, weil die 127.0.0.0/8-Adressen einfach nicht geroutet werden.
martin
Well-Known Member
So, spätesdens jetzt kapier ich überhaupt nichts mehr. Nach der letzten Sperrung habe ich mal testweise sämtliche Jails heruntergefahren. Zur Kontroller ein #jls gemacht, keine laufenden Jails => ok.
Im Hostsystem ein sockstat ausgeführt:
wie man sieht, laufen lediglich sshd, ntpd und syslog, wobei nur die ersten beiden in der pf.conf nach außen freigeschaltet sind. Hie noch einmal meine aktuellen Regeln:
Heute wurde mein Server wieder mit der oben genannten Meldung gesperrt. 192.168.0.1 port 123 unreachable
Wie kann das sein? Ich habe wie gesagt sämtliche Jails ausgeschaltet, es läuft definitiv nur der Host mit den in oben geposteten Diensten. NTP ist so konfiguriert, dass es lediglich an der öffentlichen IP Adresse lauscht. Wohre kommen also diese Pakete, die anscheinend von 192.168.0.1 aus eine Anfrage machen?
Im Hostsystem ein sockstat ausgeführt:
wie man sieht, laufen lediglich sshd, ntpd und syslog, wobei nur die ersten beiden in der pf.conf nach außen freigeschaltet sind. Hie noch einmal meine aktuellen Regeln:
Heute wurde mein Server wieder mit der oben genannten Meldung gesperrt. 192.168.0.1 port 123 unreachable
Wie kann das sein? Ich habe wie gesagt sämtliche Jails ausgeschaltet, es läuft definitiv nur der Host mit den in oben geposteten Diensten. NTP ist so konfiguriert, dass es lediglich an der öffentlichen IP Adresse lauscht. Wohre kommen also diese Pakete, die anscheinend von 192.168.0.1 aus eine Anfrage machen?
Kann es sein, dass pf auf FreeBSD bei rdr die Antworten, dass ein Dienst nicht erreichbar ist, nicht zurückübersetzt?
Also Anfrage auf ($pub_if):123 wird übersetzt an 192.168.0.1:123. Dort läuft kein Dienst, 192.168.0.1 schickt ICMP port 123 unreachable, und das geht dann unverändert nach draußen?
Ich verstehe auch grad mal gar nicht die drei rdr-Zeilen. Leitest du _alles_ an die Jails? Von den drei Regeln würde letztendlich nur eine funktionieren, weil ja stumpf "to $pub_if" weitergeleitet wird. Wie war das mit "Erlaubende Regeln immer so spezifisch wie möglich schreiben."?
Davon abgesehen, was soll 192.168.0.1:0 für eine Syntax sein? Kann es sein, dass diese drei rdr Regeln da völlig fehl am Platz sind und von irgendwelchen Experimenten stammen?
Also Anfrage auf ($pub_if):123 wird übersetzt an 192.168.0.1:123. Dort läuft kein Dienst, 192.168.0.1 schickt ICMP port 123 unreachable, und das geht dann unverändert nach draußen?
Ich verstehe auch grad mal gar nicht die drei rdr-Zeilen. Leitest du _alles_ an die Jails? Von den drei Regeln würde letztendlich nur eine funktionieren, weil ja stumpf "to $pub_if" weitergeleitet wird. Wie war das mit "Erlaubende Regeln immer so spezifisch wie möglich schreiben."?
Davon abgesehen, was soll 192.168.0.1:0 für eine Syntax sein? Kann es sein, dass diese drei rdr Regeln da völlig fehl am Platz sind und von irgendwelchen Experimenten stammen?
Die drei rdr-Regeln kommen wir auch seltsam vor..
Für meine Webserver-Jail habe ich folgendes Setting:
Gruß
Markus
Für meine Webserver-Jail habe ich folgendes Setting:
Code:
#INTERFACES
ext_if="bge0"
int_if = "lo0"
jails = " { 10.0.0.1 10.0.0.2 10.0.0.3 } "
# Name and IP of jails
ReverseProxy1="10.0.0.1"
# NAT
nat on $ext_if from $jails to any -> ($ext_if)
# Redirect any packets requesting port 80 or 443 to jailed webserver
rdr pass on $ext_if inet proto tcp to port http -> $ReverseProxy1 port http
rdr pass on $ext_if inet proto tcp to port https -> $ReverseProxy1 port httpsGruß
Markus
martin
Well-Known Member
Danke für eure Hinweise. Ich habe das Ganze jetzt in einer Virtualbox nachgebaut und dann mit Wireshark den Traffic abgehört. Zunächst mal zu den 3 mysteriösen rdr Filterregeln. Ihr habt natürlich Recht, diese gehören da nicht hin, wurden entfernt. Leider reichte das allein nicht aus (waren wohl nicht der Grund für die beanstandeten Pakete). Wenn ich am Testsystem von der Jail aus ein "portmaster fetch" gemacht habe, bekam ich mit Wireshark ständig Pakete von 192.168.0.1 unreachable icmp, also habe ich jetzt folgende Regel ganz an das Ende meiner pf.conf gestellt
damit wurde ich im Testsystem die Pakete los. Hoffentlich klappt das jetzt auch mit dem Hetzner Server.
Grüße
damit wurde ich im Testsystem die Pakete los. Hoffentlich klappt das jetzt auch mit dem Hetzner Server.
Grüße
