overkill

Witam pozwolę odświeżyć swój temat. Znalazłem na pewnej stronie gotowy skrypt. Źródło skryptu. http://rdstash.blogspot.ch/2013/09/allow-host-with-dynamic-ip-through.html Skrypt. #!/bin/bash DYNHOST=$1 DYNIP=$(host $DYNHOST | grep -iE "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" |cut -f4 -d' '|head -n 1) # Exit if invalid IP address is returned case $DYNIP in 0.0.0.0 ) exit 1 ;; 255.255.255.255 ) exit 1 ;; esac # Exit if IP address not in proper format if ! [[ $DYNIP =~ (([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5]) ]]; then exit 1 fi # If chain for remote doesn't exist, create it if ! /sbin/iptables -L $DYNHOST -n >/dev/null 2>&1 ; then /sbin/iptables -N $DYNHOST >/dev/null 2>&1 fi # Check IP address to see if the chain matches first; skip rest of script if update is not needed if ! /sbin/iptables -n -L $DYNHOST | grep -iE " $DYNIP " >/dev/null 2>&1 ; then # Flush old rules, and add new /sbin/iptables -F $DYNHOST >/dev/null 2>&1 /sbin/iptables -I $DYNHOST -s $DYNIP -j ACCEPT # Add chain to INPUT filter if it doesn't exist if ! /sbin/iptables -C INPUT -t filter -j $DYNHOST >/dev/null 2>&1 ; then /sbin/iptables -t filter -I INPUT -j $DYNHOST fi fiPrzypisałem zmiennej nazwę mojej domeny. DYNHOST=moj.ddns.netNastępnie ustawiam regułę która ma zostać wprowadzona do łańcucha. /sbin/iptables -I $DYNHOST -p tcp -s $DYNIP --dport 13640 -j ACCEPTWprowadzam reguły do zapory. Oczywiście reguły są nadal aktywne po restarcie serwera vps. iptables -A INPUT -i eth0 -p tcp -s 208.167.241.190 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 208.167.241.190 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 208.167.241.186 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 208.167.241.183 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 208.167.241.189 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 108.61.78.147 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 108.61.78.148 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 108.61.78.149 --dport 13640 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -s 108.61.78.150 --dport 13640 -j ACCEPT iptables -I INPUT -i lo -p tcp -d 127.0.0.1 --dport 13640 -j ACCEPT iptables -A INPUT -p TCP --dport 13640 -j DROP iptables -A INPUT -p UDP --dport 13640 -j DROP Skrypt uruchamiam za pomocą crona co 5 minut. Wpis w crontab. */5 * * * * root /root/skrypty/dynamic_ip.sh > /dev/null 2>&1Wynik polecenia # iptables -L INPUT -V Chain INPUT (policy ACCEPT 3022 packets, 204K bytes) pkts bytes target prot opt in out source destination 373K 26M moj.ddns.net all -- any any anywhere anywhere 259 14484 fail2ban-ssh tcp -- any any anywhere anywhere multiport dports ssh 259 14484 fail2ban-ssh tcp -- any any anywhere anywhere multiport dports ssh 259 14484 fail2ban-ssh tcp -- any any anywhere anywhere multiport dports ssh 0 0 ACCEPT tcp -- eth0 any www0.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any www0.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any www6.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any cache3.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any cache4.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any scanner1.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any scanner2.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any scanner3.gametracker.com anywhere tcp dpt:13640 0 0 ACCEPT tcp -- eth0 any scanner4.gametracker.com anywhere tcp dpt:13640 6 312 DROP tcp -- any any anywhere anywhere tcp dpt:13640 0 0 DROP udp -- any any anywhere anywhere udp dpt:13640 Wszystko działa dobrze. Mój adres ip jest wprowadzany prawidłowo do łańcucha. Chciałbym jednak upewnić się czy waszym zdaniem taki skrypt to dobre rozwiązanie. Jeśli możecie zerknijcie także czy według was ustawienia firewalla są dobre. Chciałem zablokować dostęp do portu query mojego serwera teamsepak. Otworzyć furtkę do niego tylko sobie. Jeśli chodzi o sam serwer vps. Zmieniłem standardowy port, loguje się na konto usera za pomocą klucza, wyłączyłem możliwość logowania za pomocą hasła, zainstalowałem fail2ban i zostawiłem go z domyślną konfiguracja. Z góry dziękuje za pomoc.

Rozumiem i dziękuje za szybką odpowiedź. Niestety nie mogę dać repki, zbyt mała ilość postów .

Witam mam problem z plikiem konfiguracyjnym ts3server.ini Ustawienia dla query port wczytują się poprawnie. Niestety Voice port zawsze jest wczytywany standardowo. Serwer pierwszy raz odpaliłem z następującą komendą. ./ts3server_minimal_runscript.sh createinifile=1 Następnie zmieniłem voice port w pliku ts3server.ini zmiany zapisałem. Uruchamiam serwer. ./ts3server_startscript.sh start inifile=ts3server.ini Niestety zostaje wczytany standardowy port 9987. Port dla query został wczytany bez problemów. Logi: 2015-12-23 17:13:40.926023|INFO |ServerLibPriv | | TeamSpeak 3 Server 3.0.11.4 (2015-08-18 13:30:34) 2015-12-23 17:13:40.926225|INFO |ServerLibPriv | | SystemInformation: Linux 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt20-1+deb8u1 (2015-12-14) x86_64 Binary: 64bit 2015-12-23 17:13:40.926292|INFO |ServerLibPriv | | Using hardware aes 2015-12-23 17:13:40.931080|INFO |DatabaseQuery | | dbPlugin name: SQLite3 plugin, Version 2, (c)TeamSpeak Systems GmbH 2015-12-23 17:13:40.931174|INFO |DatabaseQuery | | dbPlugin version: 3.6.21 2015-12-23 17:13:40.931639|INFO |DatabaseQuery | | checking database integrity (may take a while) 2015-12-23 17:13:40.949183|WARNING |Accounting | | Unable to find valid license key, falling back to limited functionality 2015-12-23 17:13:42.387894|INFO | | | Puzzle precompute time: 1425 2015-12-23 17:13:42.388071|INFO |FileManager | | listening on 0.0.0.0:30033 2015-12-23 17:13:42.424267|INFO |CIDRManager | | updated query_ip_whitelist ips: 127.0.0.1, 2015-12-23 17:13:42.424489|INFO |Query | | listening on 0.0.0.0:10045 2015-12-23 17:13:42.424071|INFO |VirtualServer | 1| listening on 0.0.0.0:9987 Z góry dziękuje za pomoc. Edit: Wyczytałem że w przypadku voice_port można go zmienić tylko za pomocą query admin. Czy jest to prawdą. Czy ustawienia z pliku .ini w tym przypadku są pomijane. Gdyż zostały przypisane podczas pierwszego włączenia serwera.

Panowie jesteście wielcy. Bardzo dziękuje za pomoc. Misiek08 tobie w szczególności.

Witam wszystkich użytkowników. Korzystam z usług firmy netia. Posiadam zmienne ip. Skonfigurowałem na urządzeniu netiaspot ddns. Przykładowo gdy utworzyłem serwer ftp na komputerze podczas restartu routera nadal bez problemu użytkownicy z zewnątrz mogli łączyć się przez nazwę domeny z moim serwerem ftp(zmiana ip w niczym nie przeszkadzała). Zastanawiam się czy istnieje możliwość aby debian który stoi na serwerze vps. Mógł np. co 10 minut odpytywać moją domenę ddns i gdy zmianie ulegnie ip automatycznie wczytywał nowy łańcuch do iptables. Przykład użycia: Posiadam server team speak, mam zamiar zablokować komunikację dla portu query dla wszystkich oprócz mojego ip. Niestety posiadam zmienne ip dlatego ta opcja odpada. Odpytuje domene która mam przypisaną do swojego routera, zwraca obecne ip, wprowadza zmodyfikowaną regułe do łańcucha. Bez problemów łączę się na określonym porcie. Bardzo proszę was o pomocne linki, nakierowanie na dobre tory. Z góry dziękuje za pomoc.

Serwer działa, bot skonfigurowany, dostęp do server query ma tylko bot. Pozdrawiam i dziękuje za pomoc.

Wiem ale automatycznie localhost jest dodany w query_ip_whitelist.txt a JTS3ServerMod uruchamiany jest z tego samego serwera. Dlatego zastanawiam się co może być powodem takiego stanu rzeczy. Edit: Już działa. Należało w ustawieniach konfiguracyjnych zamiast ip serwera ts podać localhost czyli 127.0.0.1 Konkretnie w pliku JTS3ServerMod_server.cfg ts3@vps~/ts3bot$ java -mx30M -jar JTS3ServerMod.jar JTS3ServerMod 5.5.4 (11.07.2015) Instance Manager started... bot1: Virtual bot instance "bot1" starts now bot1: Successful connected to 127.0.0.1! bot1: Login as "p2muserquery" successful! bot1: Unable to receive permission list! If wanted, set permission b_serverinstance_permission_list to server group Guest Server Query. bot1: Successful selected virtual server on port 9987! bot1: Server connection log is activated and will be written into the file: JTS3ServerMod_server1_login.csv bot1: Creating client database cache... bot1: Bot started and connected successful, write !botinfo in server chat to get an answer! bot1: Client database cache created, 2 clients in cache. Mam jeszcze do was pytanie. Czy dobrze zrobiłem tworzac admina query przez interface ts3.

Witam mam problem z uruchomieniem tego bota na serwerze vps. Błędy, oczywiscie sprawdziłem i w whitelist.txt jest dodany localhost 127.0.0.1 ts3@vps:~/ts3bot$ java -mx30M -jar JTS3ServerMod.jar JTS3ServerMod 5.5.4 (11.07.2015) Instance Manager started... bot1: Virtual bot instance "bot1" starts now bot1: Successful connected to ip serwera ts! bot1: Login as "p2muserquery" successful! bot1: Unable to receive permission list! If wanted, set permission b_serverinstance_permission_list to server group Guest Server Query. bot1: Successful selected virtual server on port 9987! bot1: Unable to receive private chat messages! bot1: de.stefan1200.jts3serverquery.TS3ServerQueryException: ServerQuery Error 3331: flood ban bot1: Unable to receive server chat messages! bot1: java.lang.IllegalStateException: null object, maybe connection to TS3 server interrupted. bot1: Error while getting channel list! bot1: java.lang.IllegalStateException: Not connected to TS3 server! bot1: Virtual bot instance "bot1" stopped Java wersja: ts3@vps~/ts3bot$ java -version java version "1.8.0_51" Java(TM) SE Runtime Environment (build 1.8.0_51-b16) Java HotSpot(TM) 64-Bit Server VM (build 25.51-b03, mixed mode) Najpierw myślałem że problemem mogą być reguly zawarte w iptables. Zablokowałem za ich pomocą możliwość korzystania z portu query. Oczywiście wyczyściłem wszystkie reguły za pomocą polecenia iptables -F. Bez zmian. Serwer ts3 jak i jts3servermod sa na tym samym serwerze vps. Skonfigurowałem odpowiednio plik JTS3ServerMod_server , oczywiscie w kodzie zmienilem dane. Oryginalnie są one odpowiednio wpisane. # Teamspeak 3 server address ts3_server_address = adres ip serwera ts3 # Teamspeak 3 server query port, default is 10011 ts3_server_query_port = moj port # Teamspeak 3 server query admin account name ts3_server_query_login = moj user # Teamspeak 3 server query admin password ts3_server_query_password = moj login # Teamspeak 3 virtual server ID or -1 to use ts3_virtualserver_port ts3_virtualserver_id = -1 # Teamspeak 3 virtual server port, only needed if ts3_virtualserver_id is set to -1 ts3_virtualserver_port = 9987 Port query mam inny niż standardowy. Jeśli chodzi o konto usera query, utworzyłem go w ts Tools>ServerQuery Login i te dane właśnie podałem w konfiguracji. Z góry dziękuje za pomoc.

Sprawdzałem na "777" jednak prawde mówiąc nadając chmod "777" umożliwiłem tylko dodatkowo zapis. Wrociłem do standardowych uprawnień "755". Jeśli chodzi o drugie to chodzi konkretnie o katalog /dod ?. Mógłbyś mi podpowiedzieć jak umożliwić serwerowi www czytanie plików z katalagou /dod.

Domena już podpięta: blyskawica.tk Zastanawiam się jednak czy dobrze ją podpiąłem. Zalogowałem się do panelu mojej domeny i w rekordach podałem ip swojego serwera vps już pod dwóch minutach mogłem dokonywać tesu "ping blyskawica.tk" w cmd. Edytowałem także plik index.html i zawarłem słowa "Glover wymiata :)" czy w przypadku mojego serwera ip =dns. Oczywiście mam problem z fast download. Katalog z plikami serwera gry pomyślnie został podmontowany. Chmody dla katalogów są odpowiednie 755. Jednak fiaskiem kończy się pobranie mapy. http://blyskawica.tk/dod/maps/dod_anzio.bsp Brak uprawnień. Podam przykład ja wygląda to na pewnym serwerze gier. http://k.1shot1kill.pl/FD/srv24730/dod/maps/dod_tiger2008.bsp Sprawdzałem sam katalog maps ma uprawnienia "755" pliki zanjdujące się w nim "644" Czy nie muszę się skupić przypadkiem na "lrwxrwxrwx" czyli tych uprawnieniach do calego katalogu. Mam nadzieję że zbytnio nie zawracam nikomu głowy.

Kamikadze zrobione, Serwer obecnie uruchamiałem w tmux ale z checią wyprobuję god'a, mam nadzieje ze ogarne go jako tako.

Jeśli chcecie skorzystać z funkcji powiadamiania w formie wiadomości sms. Powinny was zainteresować crawlery. https://github.com/MA3STR0/kimsufi-crawler https://github.com/chovy/kimsufi-alert || Wymagany node.js ||

Wygoda w każdej chwili mogę zmienić hasło i wystarczy tylko wykonać restart serwera gry. Jeśli chodzi o RCON obecnie sam podałem go w parametrach startowych. Zauważ jednak że większośc firm hostujących serwery gier umożliwia tylko dodanie parametru "map", przeważnie u nich hasło rcon jest w server.cfg(tak wiem mają lepsze zabezpieczenia) Jeśli chodzi o hasło rcon dawniej bez problemu można było je wyciagnąc z server.cfg Podobno problem ten rozwiązano. Przecież jesli nie udostępnie możliwości pobierania plików .cfg i nadam odpowiedni chmod i o ile naprawdę nie ma obecnie żadnej luki nie widzę powodów do obaw. Chyba że mówisz o wyciągnieciu hasła rcon w inny sposób. Jeśli wiesz jak działa mechanika takiego ataku podziel się swoją wiedzą. Wszyscy skorzystają. Kszysiu dziękuje, jeśli chodzi o security vps'a wykonałem następujące kroki. 1. Zmiana standardowego portu "22" do połączenia ssh na inny czterocyfrowy. 2. authorized_keys, możliwość logowania tylko przez klucz, dostęp przez pass nieaktywny, logowania do konta roota wyłączone. 3. Utworzony nowy user, dodałem go do grupy sudo. Podanie hasła użytkownika umożliwia dopiero skorzystanie z uprawnień roota. 4. ZainstalowanA nakładka na firewall fail2ban, zmieniłem tylko restrykcje. Jeśli chodzi o domene super że podzieliłeś się informacjami. Dziś przeprowadzę testy i podziele się informacjami.

kszysiu, mediauser dzięki za odpowiedzi. Jeśli chodzi o domenę obecnie nie posiadam żadnej ale dla nauki zakupię i zobaczym co z tego wyjdzie. Ogólnie jeśli dobrze mi się wydaje. Utworzenie subdomeny w pzypadku gdy ktoś ma stronę na vps jest bezpieczniejsze a z kolei za pomocą http://www.ducea.com/2006/07/21/apache-tips-tricks-deny-access-to-certain-file-types/wyklucze folder cfg, gdyż tam w pliku server.cfg znajduje się hasło rcon, oczywiście można przypisać hasło rcon w parametrach startowych ale wolę je mieć w server.cfg(kwestia wygody). Zastanawiam się jeszcze nad jedną sprawą. Ciekawe czy można zastosować regułę która będzie pomijała wszystkie pliki ".cfg".

Kszysiu dzięki za odpowiedź. Jeśli chodzi o punkt 1. Czyli włączając opcję "fast download" automatycznie np. do paramterow startowych serwera dopisywany jest adres http://adresip/numerpidusera/cstrikei wtedy podczas kopiowania plikow na serwer gry trafiają one do tego katalogu. 2. Serwer www ma dostęp do określonego katalogu/plików czyli np. ~/steam/games/cstrike i udostępnia je po swojej stronie. Czyli zamiast kombinować z tworzeniem w public_html katalogu z plikami, dane pliki są odczytywane z folderu gry i udostępnianie pod innym adresem. Jestem Newbie dlatego tak się dopytuje .