6tunnel alternativen mit Log? (Apache2 Webservier)

[pxdbf]

Hallo zusammen,

ich bin vor kurzem Umgezogen und erhalte nun nur noch einen IPv6 (IPv4 nur Nat ).

Davor liess ich meinen eigenen Webserver direkt am Netz laufen.

Nun habe ich leider keine eigene dynamische IPv4 und musste einen neuen Weg finden:

Nach langem suchen fand ich diese Lösung: https://youtu.be/ttEHsjjvRS4

Ich habe die noch leicht modifiziert und sende die Signale einfach durch ein VPN weiter.


Leider hat aber diese Lösung einen Nachteil:

Ich habe mal wieder das LOG aktiviert und musste feststellen, dass hier böse Leute ständig attacken gegen meinen Webserver laufen lassen.

10.0.0.15 - - [11/Aug/2022:22:28:34 +0100] "GET /info.php HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:34 +0100] "GET /aws.yml HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:34 +0100] "GET /admin/info.php HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:34 +0100] "GET /config/aws.yml HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /aws.yml HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /.aws/credentials HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /config/aws.yml HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /config.js HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /.aws/credentials HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:35 +0100] "GET /config.json HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:36 +0100] "GET /config.js HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:36 +0100] "GET /config/config.json HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:36 +0100] "GET /config.json HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:36 +0100] "GET /?pp=env HTTP/1.1" 302 287
10.0.0.15 - - [11/Aug/2022:22:28:36 +0100] "GET /config/config.json HTTP/1.1" 404 412
10.0.0.15 - - [11/Aug/2022:22:28:37 +0100] "GET /?pp=env HTTP/1.1" 302 287


Natürlich werden die dabei auf Granit beissen, trotzdem würde ich gerne die eigentliche Quell-IP herausfinden und evtl. blockieren.

Immerhin erzeugen diese bösen Bots bis zu 100 MByte am Tag, die nicht sein müssen.

Hat jemand eine Idee, wie ich diese IP-Adresse an dem Apache weiterleite?

Dahinter stecken zwei Domains samt Letsencrypt DNS-SSL-Zertifikat.

Vielleicht kennt ja jemand evtl. 6tunnel-Alternativen, welche etwas mehr log erlauben.
Oder könnte man es vieleicht sogar durch das VPN-Weiterrouten und dabei die Quell-IP behalten?


PS: Apache2, 6tunnel, OpenVPN-Tunnel im 10ner Bereich,
Der Server ist der günstig von allen für wirklich nur 1€ mit Debian 10 64bit.
Aber dieser hat kaum Speicher und Festplatte. Sonst hätte ich einfach alles auf diesen übertragen

Der Server ist ein kleiner PI
cat /etc/debian_version
11.3

Es geht mehr aber nur um den Debian-Zwischenserver im gesamten Konstrukt.

[heisenberg]

Ich habe mal wieder das LOG aktiviert und musste feststellen, dass hier böse Leute ständig attacken gegen meinen Webserver laufen lassen.

Willkommen im Internet!

Ich denke mal laut:

Ich habe keine Ahnung davon, aber nehme mal an, dass Du da irgend eine VM im Internet hast, die der andere ipv6 Tunnelendpunkt ist. Dort könntest Du auch einen Reverse-Proxy laufen lassen. Der Reverse-Proxy verpackt dann u. a. im Request die Original-IPv4-Adresse des anfragenden Systems. Diese Adresse kann dann der Webserver bei Dir zu Hause wieder extrahieren.

Siehe z. B. hier mit nginx(gefällt mir als ReverseProxy besser als Apache)
https://kinsta.com/de/blog/reverse-proxy/

Die Adresse kann man auf dem Backend-Apache bei Dir zu Hause dann protokollieren. Siehe z. B. hier:
https://www.ionos.de/hilfe/server-cloud ... achelinux/

Natürlich ist ein Reverse-Proxy wieder ein Stückchen mehr Komplexität, dass manchmal zusätzliche Konfiguration an Reverse-Proxy und Webserver erforderlich macht. Insofern: Wenn's da transparente Lösungen gibt, wäre das wahrscheinlich die einfachere und wünschenswertere Lösung.

IP-Adressen sperren

Auf dem Reverse-Proxy könnte man auch regelmässig Regelsätze von Blocklisten bekannter Angreifer generieren. z. B. abuseipdb.com oder blocklist.de. (Ein Paketfilter ist wahrscheinlich problematischer, weil ~25K Firewallregeln vermutlich nicht besonders performant sind.)

Ansonsten könnte man via Blackhole-Routing/Nullrouting wahrscheinlich auch Adressen sperren ohne den Reverse-Proxy. Habe ich auf Linux jetzt so noch nicht gemacht. Weiss nicht ob das performant ist.

So und jetzt bin ich gespannt, ob es andere gibt, die die eigentlich gewünschte Lösung anbieten können.

[uname]

@pxdbf
Einfach den Provider wechseln. Wer heute nur eine IPv6 bekommt, lebt doch hintern Mond. Für normale Anwender mag das gehen. Wenn man aber selbst was betreiben will, dann gibt es meiner Meinung nach zu einer IPv4-Adresse keine Alternative. Aber will will darf sich sein IPv6 und z. B. Glasfaser gerne schönreden. Die Bandbreite braucht niemand, die IPv4 kann man jedoch schnell vermissen.

[MSfree]

Einfach den Provider wechseln.

Es soll Orte geben, da bekommst du

• Internet via TV-Kabel mit 1GBit/s und Dual-Stack-Lite
• Internet via DSL-light mit 768kBit/s und IPv4
• Internet via LTE und Corporate-NAT

Welches Schweinderl hätten sie gerne, das ist Pest-Rosa oder das in Colera-Blau?

[bluestar]

Du könntest einfach auf deinem öffentl. Server via DNAT die Ports 80 und 443 auf deine private VPN-Endpoint IP zu Hause leiten und zu Hause sourced based Routing einsetzen, damit die Pakete den Rückweg über das VPN ins Internet finden.

Annahme:
* öffentliche IP: 1.2.3.4
* Server im Netz
* Internet-Interface: eth0
* VPN-Endpunkt-IP: 10.0.0.1
* Server zu Hause VPN-Endpunkt-IP: 10.0.0.2

DNAT Code für den Server:

Code: Alles auswählen

iptables -t nat -A PREROUTING -i eth0 -d 1.2.3.4/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2:80
iptables -t nat -A PREROUTING -i eth0 -d 1.2.3.4/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2:80

Source based routing für zu Hause:

Code: Alles auswählen

#
# Default-Gateway in Routing Tabelle "default" anlegen
#
ip route add default via x.x.x.x table default
#
# Prioritäten für Routing Tabelle "main" 
#
ip rule add from all lookup main priority 1000
ip rule del from all lookup main priority 32766

#
# Default-Gateway aus "main" Routing Tabelle entfernen
#
ip route del default via x.x.x.x table main

#
# Zusätzliche Routing Tabelle "vpn_routing_table" anlegen
#
echo "12 vpn_routing_table" >>/etc/iproute2/rt_tables
ip route add default via 10.0.0.1 table vpn_routing_table
ip rule add from 10.0.0.2 lookup vpn_routing_table priority 1001

Aussehen muss die Ausgabe von ip rule show am Ende:

Code: Alles auswählen

0:	from all lookup local
1000:	from all lookup main
1001:	from all 10.0.0.2 lookup vpn_routing_table
32767:	from all lookup default

[uname]

Internet via TV-Kabel mit 1GBit/s und Dual-Stack-Lite
Internet via DSL-light mit 768kBit/s und IPv4
Internet via LTE und Corporate-NAT

Ok. Ich lebe auf dem Land. Mein Provider hat ausreichend schnelles DSL (25.000 und 50.000) sowie Glasfaser.
Glasfaser habe ich nicht. Ich schaue selten mehr als 5 HD-Streams gleichzeitig.

[cosinus]

Wenn man aber selbst was betreiben will, dann gibt es meiner Meinung nach zu einer IPv4-Adresse keine Alternative.

Wieso kann man mit IPv6 keinen Server betreiben?

[DeletedUserReAsG]

Technisch spricht nichts dagegen – sofern man sicher ist, dass alle, die sich damit verbinden können sollen, ebenfalls IPv6 zur Verfügung haben. Ich bin bei einem der beiden größten Provider in D, und der kann mir im Jahr 2022 lediglich IPv4 anbieten …

[uname]

Wieso kann man mit IPv6 keinen Server betreiben?

Natürlich kann man das. Nur es gibt immer noch Personen und/oder vor allen Firmen-Proxys, die nur per IPv4 zugreifen.
https://ipv6-test.com

und der kann mir im Jahr 2022 lediglich IPv4 anbieten

Besser lediglich IPv4 als lediglich IPv6.

[cosinus]

Natürlich kann man das. Nur es gibt immer noch Personen und/oder vor allen Firmen-Proxys, die nur per IPv4 zugreifen.

Ja, das ist auch so ein Unding.DIe inen bekommen verkrüppeltes IPv4, die anderen IPv4-only. Warum machen die Provider sowas? Ist IPv6 für manche immer noch so ein Hexenwerk? IPv6 nachrüsten kann man zumindest mit https://tunnelbroker.net/

[bluestar]

DIe inen bekommen verkrüppeltes IPv4, die anderen IPv4-only. Warum machen die Provider sowas?

Im Businessumfeld hängt es selten am Provider, die meisten Firmennetze sind gewachsene Strukturen, wo du eben IPv6 nicht einfach durch zwei Mausklicks aktivieren kannst.

[cosinus]

Im Businessumfeld hängt es selten am Provider, die meisten Firmennetze sind gewachsene Strukturen, wo du eben IPv6 nicht einfach durch zwei Mausklicks aktivieren kannst.

Ja ich weiß. Ich hab bei uns im Büro auch Stück für Stück IPv6 eingeführt. War aber eigentlich garnicht so schwierig. Was ich eben nur meinte waren Provider, die ihren Kunden am Anschluss nur IPv4 zur Verfügung stellen. Dann hängt es natürlich am Provider, aber mit statischer IPv4-Adressen, die man im Businessumfeld ja normalerweise hat, kann man dann über den tunnelbroker IPv6 nachrüsten.