Hetzner und Firewall

kira12

Well-Known Member
Hallo Leute,

ich bastel gerade mit einem Server bei Hetzner in Finnland. Wenn ich die Hetzner Firewall aktiviere bleibt pkg und Freebsd-update fast stehen, wie komme ich dem auf die Spur? Wenn die Firewall deaktiviert ist funktioniert alles. Hier die Regeln:

http 80,443 tcp accept
tcp established 32768-65535 tcp ack accept

Gruß ré
 
Was meinst du mit "fast stehen"? Nebenbei, ich würde noch eine Regel für ICMP hinzufügen.
 
Hallo Gadean,

ich habe ICMP und DNS: 53,953 accept. Die Verbindung steht für 3min und dann entweder funktionierte es ganz langsam oder es gibt Timeout.

Gruß ré
 
Hallo Schorsch,

die Firewall bei Hetzner betrifft nur ipv4. IPv6 ist aktiv beim Server.

Gruß ré
 
Hallo,

jetzt gerade wieder, jedes 3. mal funktioniert es nicht.
Code:
Fetching metadata signature for 11.2-RELEASE from update2.freebsd.org... done.
Fetching metadata index... fetch: http://update2.freebsd.org/11.2-RELEASE/amd64/t/5f79aef9fdb2c0d95a7d4a97b072e35bcf7cab554eb429d00148a190dfdbe869: Operation timed out
failed.

Gruß ré
 
nur eingehenden, ausgehender ist nicht betroffen.
Dann reicht das IMHO nicht.
Du erlaubst eingehend 80/443 - das wäre dann sinnvoll, wenn du lokal einen Webserver laufen hast.
Für den Verbindungsaufbau nach extern Port 80/443 wird lokal ein Port >1024 aufgemacht.

Laut sysctl ist der Bereich für "ephemeral ports" folgender:
Code:
# sysctl net.inet.ip.portrange
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.first: 10000

Du musst also eingehend 10000 bis 65535 zulassen, ansonsten erhältst du keine Antwort von der Gegenseite.

Rob
 
Hallo,

das klingt gut, ich ändere das mal und berichte. Die Regel war ein Vorschlag von Hetzner...

Gruß ré
 
Hallo Rob,

ok funktioniert bestens :D Danke für die Info.

Gruß ré

P.S. bei Linux ist der Range 32768-61000
 
Zurück
Oben