We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

OVH Erweiterung der Anzahl an Firewallregeln


Server4pro
10.02.15, 14:27
@Omaha: evt. dieses Probelm?: https://www.thomas-krenn.com/de/wiki...ch_DNS_Timeout
Mehr als 20 Rules sind definitiv wünschenswert.

maxs97
04.02.15, 19:08
Ich wäre auch für die genannten Funktionen. Ich nutze teilweise die 20 Regeln komplett aus, konnte bisher aber keine Probleme mit SSH o.ä. feststellen. Wobei ich ICMP auch nicht blockiere.

4b42
04.02.15, 19:05
Der MySQL muss nicht ins Internet (bind-address ist 127.0.0.1), aber ich muss auf externe MySQL Server verbinden können und auf einige andere Dienste ebenfalls.
Dies mit mehreren IP-Adressen zu lösen wäre eine Möglichkeit, aber auch eher ein Workaround.

Edit.
Ich habe keine Verbindungsprobleme mit SSH oder ähnlichen Diensten. Die Firewall funktioniert wie Sie soll.

Omaha
04.02.15, 18:11
Mit diesen Regeln

allow tcp 22
block tcp all
block udp all
block icmp all

dauert es bis zu 30 sekunden bis ich eine Antwort vom SSH server bekomm.

d.h.: Mehr als 20 Regeln können die sich auch gar nicht leisten.
Oder lass dir ein paar IPs raus und schalt deine Services auf verschiedene IPs.


PS: Bist du sicher, dass dein MySQL Server ins Internet muss? Wenn nicht dann bitte bind-address=127.0.0.1 in my.cf.

4b42
04.02.15, 17:32
Hallo Zusammen

Ich habe mehrere Server bei OVH und bin von der Firewall Option im Manager v6 sehr begeistert.
Ich habe die Firewall für einige IP-Adressen konfiguriert, allerdings habe ich das Problem das mir die 20 Regeln nicht ausreichen.

Die Konfiguration meiner Firewall ist wie folgt:
Mit den ersten Regeln erlaube ich alles von meinen Subnetzten (Zuhause und aus einen RZ in CH)
Am Ende gibt es 3 Regeln, welche TCP, UDP und ICMP blockieren.
Nun muss ich für jeden Dienst (zum Beispiel SMTP,DNS,HTTP,HTTPS,MySQL) mindestens eine Regel erstellen. Somit sind die 20 Regeln schnell aufgebraucht.

Verbesserungsvorschläge:
- Mehrere Regeln (30 oder 40 Stück)
- Portbereiche (10000-20000)
- einzelne Ports (53,80,443)
- Gruppierung von Protokollen (TCP+UDP oder ALL für alle)

Da ich bereits mehrere E-Mails/Tickets bei OVH in der vergangen Zeit erstellt habe und bis dato nichts erreicht habe, hoffe ich das OVH durch diesen Beitrag erkennt das ich (hoffentlich) nicht alleine mit diesem Problem bin und hier Verbesserungsbedarf besteht.