Wireguard Fritzbox VPN mit ds lite, Gegenstelle nur ipv4

[till69]

Aber wer weiß wann die bösen Buben entdecken, dass es IPv6 gibt

Das wissen die. Haben trotzdem ein Problem
https://www.iternas.com/post/gibt-e...-an-den-stränden-als-verfügbare-ipv6-adressen

 

[Avenger84]

Ja schon klar, aber meine Mailcow ist unter mail.meinedomain.de erreichbar.
Per smtp kommt definitiv jede Menge Schund an.

 

[Helge01]

Das wissen die. Haben trotzdem ein Problem

Funktioniert nur so lange wie es keinen DNS Eintrag dafür gibt, danach ist die Ruhe vorbei.
Wenn für diese Domain auch noch ein Zertifikat ausgestellt wurde, dann ist die Ruhe sofort vorbei.

 

[Avenger84]

DNS Eintrag ist natürlich vorhanden bei mir und Zertifikat auch, allerdings Wildcard.

 

[Helge01]

allerdings Wildcard

Wildcard hilft ungemein.
Bei mir wurde aber trotzdem mal die Subdomain herausgefunden, über eine Sicherheitslücke haben sie die DNS-Zone abgerufen. Auch einfache und kurze Subdomains werden durch Probieren leicht erraten (auch das hatte ich schon). Wichtig ist, dass man nicht schon an den Dienst kommt nur durch aufrufen der Domain und dem Port. Das darf nur möglich sein durch das Aufrufen der korrekten Subdomain (z.B. mit Hilfe eines Reverse-Proxy/HAProxy).

 

[Bob.Dig]

Und Fail2ban muss auch ganze Prefixe bannen können, sonst haben die Täter quasi unbegrenzte Versuche... Hab keine eigenen Erfahrungen mit Fail2ban.

 

[Pummeluff]

Ich nutze es auf beiden V-Servern. Ja, till69 hat nicht ganz Unrecht. Die ssh-Attacken kommen fast immer von unterschiedlichen IPs. Fail2ban bannt die IPs erst nach einer festgelegten Anzahl an fehlgeschlagenen Loginversuchen.

Trotzdem sind in meiner Bannliste immer ein paar IPs drin. Ganz sinnlos ist es also nicht.

Ssh nur über IPv6 zu erlauben, ist zwar ganz hübsch. Nur bekommt man halt häufig in privaten LANs nur eine IPv4 zugewiesen.

Da ich auf meinen V-Servern das Login sowieso nur per Key erlaube, sind mir die Passwortattacken egal. Es bremst halt ein bisschen den Server aus.