Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ubuntu:24-04_server_install [2026/02/04 13:26] – [Netzwerkkonfiguration] Sebastian Hetzel
+++ ubuntu:24-04_server_install [2026/03/07 22:16] (aktuell) – [Geo-Filtering] Sebastian Hetzel
@@ Zeile 259: / Zeile 259: @@
 </code>
+===== Hostname =====
+<code |bash>
+hostnamectl set-hostname hostname.meine-domaene.de
+vi /etc/hosts
+</code>
+<file |/etc/hosts>
+# Your system has configured 'manage_etc_hosts' as True.
+# As a result, if you wish for changes to this file to persist
+# then you will need to either
+# a.) make changes to the master file in /etc/cloud/templates/hosts.debian.tmpl
+# b.) change or remove the value of 'manage_etc_hosts' in
+#     /etc/cloud/cloud.cfg or cloud-config from user-data
+#
+.0.1.1 hostname.meine-domaene.de hostname
+.0.0.1 localhost
+# The following lines are desirable for IPv6 capable hosts
+::1 localhost ip6-localhost ip6-loopback
+ff02::1 ip6-allnodes
+ff02::2 ip6-allrouters
+</file>
 ===== Firewall =====
-==== Installation ====
+==== Erklärung / Vorwort ====
-Die Pakete "''iptables-persistent''" und "''netfilter-persistent''" stehen in direkter Abhängigkeit und müssen daher beide installiert werden.
+<note important>Ich nutze iptables zum Erstellen der Regeln, weil ich mir in der Vergangenheit Skripte dafür geschrieben habe. Ubuntu nutzt aber mittlerweile **nftables**, so dass iptables im Kompatibilitätsmodus läuft. Das bedeutet, dass iptables genutzt werden kann, aber alles Regeln nach nftables intern umgesetzt wird.</note>
-<code>
+Was bedeutet das für die Bedienung des Systems?
-apt-get update
-aptitude install iptables-persistent netfilter-persistent
+<note warning>Um das aktuell angewandte Ruleset zu sehen, muss unter nftables nachgeschaut werden!
+</note>
+<code |bash>
+nft list tables
 </code>
+==== Installation ====
+Die Pakete "''iptables-persistent''" und "''netfilter-persistent''" stehen in direkter Abhängigkeit und müssen daher beide installiert werden.
 Ubuntu kommt von Hause aus mit dem Paket ''ufw'', ebenfalls eine auf iptables-basierende Firewall. Den Job übernimmt nun netfilter-persistent, daher deinstalliere ich es:
-<code>
+<code |bash>
 aptitude purge ufw
 </code>
+Die Installation von iptables-persistent erfolgt dann so:
+<code |bash>
+apt-get update
+aptitude install iptables-persistent netfilter-persistent
+</code>
 ==== Konfiguration / Regelwerk ====
@@ Zeile 304: / Zeile 342: @@
 Dummerweise schreibt iptables das syslog voll, welches somit unübersichtlich wird. Mit Hilfe des rsyslogd leite ich die Ausgaben in eine eigene Datei um:
-<code>vi /etc/rsyslog.d/25-iptables.conf</code>
+<code |bash>vi /etc/rsyslog.d/25-iptables.conf</code>
-Damit dieser Weg funktioniert, habe ich mittels des Parameters --log-prefix  von iptables der Ausgabe das Präfix "IPT:" hinzugefügt. Das könnnen wir uns als Filter zur Nutze machen.
+Damit dieser Weg funktioniert, habe ich mittels des Parameters --log-prefix  von iptables der Ausgabe das Präfix "iptables" hinzugefügt. Das könnnen wir uns als Filter zur Nutze machen.
 <file | /etc/rsyslog.d/25-iptables.conf>
-:msg,contains,"IPT:" -/var/log/iptables.log
+:msg,contains,"iptables" -/var/log/iptables.log
 & ~
 </file>
@@ Zeile 315: / Zeile 353: @@
 Beim ersten Mal muss die Datei erstellt werden und mit Rechten für den rsyslogd versehen werden.
-<code>
+<code |bash>
 touch /var/log/iptables.log
 chown syslog.adm /var/log/iptables.log
@@ Zeile 322: / Zeile 360: @@
 Die Änderungen werden erst nach einem Dienstneustart übernommen.
-<code>service rsyslog restart</code>
+<code |bash>service rsyslog restart</code>
 Das Logfile wird schnell groß und sollter daher rotiert werden:
@@ Zeile 340: / Zeile 378: @@
 </file>
+==== Geo-Filtering ====
+=== Ziel ===
+  * nur Deutschland (DE) darf zugreifen
+  * Ports 80 und 443 auf IP1
+  * Port 2233 auf IP2
+  * bestehende nftables Regeln bleiben erhalten
+=== xt_geoip installieren ===
+<code |bash>
+apt update
+apt install xtables-addons-common xtables-addons-dkms
+</code>
+Kernelmodul
+<code |bash>
+modprobe xt_geoip
+lsmod | grep geoip
+</code>
+Zielordner für die Datenbanken
+<code |bash>
+mkdir -p /usr/share/xt_geoip
+</code>
+Skript zur automatischen Aktualisierung der Datenbanken
+<file |bash geoip_update.sh>
+#!/bin/bash
+LIB_DIR=/usr/libexec/xtables-addons
+BASE_DIR=/usr/share/xt_geoip
+cd $LIB_DIR  || exit 1;
+$LIB_DIR/xt_geoip_dl  || exit 1;
+perl $LIB_DIR/xt_geoip_build -D $BASE_DIR  || exit 1;
+</file>
+Das Skript über die Crontab automatisiert aufrufen lassen.
+Das vorhandene Regelwerk aktualisieren!
+<code |bash>
+vi /etc/iptables/rules.v4
+vi /etc/iptables/rules.v6
+netfilter-persistent reload
+</code>
 ===== "Mini" Postfix =====
 Der MTA Postfix soll nur dazu dienen Mails zu versenden. So können Informationen, zum Beispiel an den Admin, vom System versendet werden oder Webseiten können mit Ihren Benutzern kommunizieren, wenn beispielsweise ein Passwort zurückgesetzt werden soll.