Komme nicht mehr auf meinen Server per SSH

[Transmitter]

Hallo,

das ist jetzt nahezu peinlich ..
Ich habe 2 Server - auf dem alten habe ich irgendwas installiert, dass mich aussperrt wenn ich mich aus China (da wohne ich) einlogge.
Kann auch keine Websites aufrufen.

Wenn ich mich erst auf dem neuen Server einlogge (in Österreich) und von dort aus auf dem alten funktioniert alles und wenn ich einen SSH Tunnel benutze in Firefox in China auf dem Desktop funktioniert auch alles.

Habe gerade:

Code: Alles auswählen

apt-get remove denyhosts
Paket denyhosts ist nicht installiert, wird also auch nicht entfernt

apt-get remove fail2ban
Paket fail2ban ist nicht installiert, wird also auch nicht entfernt

iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

So .. ganz dumm ist jetzt, das ich nicht weiß was ich gemacht habe, dass ich mich ausgesperrt habe.
Was könnte mich denn noch davon abhalten mich auf meinen alten Server zu verbinden?

Danke schon mal
Bye, Transmitter

[rendegast]

erst auf dem neuen Server ... und von dort aus auf dem alten funktioniert

Super

auf dem alten habe ich irgendwas installiert,

/var/log/dpkg.log
/var/log/apt/history.log
/var/log/aptitude

Letzte Änderungen? ZBsp.

Code: Alles auswählen

find /etc -mtime -7

Verrückte fw-Regel an anderem Table?

Code: Alles auswählen

iptables-save

wenn ich mich aus China

Chinas Große FW?

Deine Pakete kommen an? Am Server sowas

Code: Alles auswählen

iptables -t nat -I PREROUTING -j LOG --log-prefix "chin-prer" -p tcp --dport 57734
iptables -I INPUT -j LOG --log-prefix "chin-inpu" -p tcp --dport 57734

Am client in China

Code: Alles auswählen

telnet alter-Server 57734

[Transmitter]

/var/log/dpkg.log
/var/log/apt/history.log
/var/log/aptitude

dpkg ist leer, apt/terms.log auch - history.log gibt es nicht.
aptitude ist auch leer.

Letzte Änderungen? ZBsp.

Code: Alles auswählen

find /etc -mtime -7

Es ist schon ein paar Monate her ...

Code: Alles auswählen

find /etc -mtime -160
/etc
/etc/hosts
/etc/init.d/vzquota
/etc/init.d/vzreboot
/etc/vz/dev
/etc/vz/dev/vzlink
/etc/resolv.conf
/etc/hostname
/etc/network
/etc/network/interfaces
/etc/network/run
/etc/network/run/ifstate
/etc/mtab

Die Dateien sehen aber alle "normal"/ok aus.

Verrückte fw-Regel an anderem Table?

Scheint recht leer zu sein ...

Code: Alles auswählen

iptables-save 
# Generated by iptables-save v1.4.2 on Sun Feb  9 01:51:26 2014
*mangle
:PREROUTING ACCEPT [806682:467673856]
:INPUT ACCEPT [806682:467673856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [838772:714068399]
:POSTROUTING ACCEPT [838772:714068399]
COMMIT
# Completed on Sun Feb  9 01:51:26 2014
# Generated by iptables-save v1.4.2 on Sun Feb  9 01:51:26 2014
*filter
:INPUT ACCEPT [806682:467673856]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [838774:714068663]
-A INPUT -p tcp -m tcp --dport 57734 -j LOG --log-prefix "chin-inpu" 
COMMIT
# Completed on Sun Feb  9 01:51:26 2014
# Generated by iptables-save v1.4.2 on Sun Feb  9 01:51:26 2014
*nat
:PREROUTING ACCEPT [24678:1420842]
:POSTROUTING ACCEPT [13940:849797]
:OUTPUT ACCEPT [13940:849797]
-A PREROUTING -p tcp -m tcp --dport 57734 -j LOG --log-prefix "chin-prer" 
COMMIT
# Completed on Sun Feb  9 01:51:26 2014

Chinas Große FW?

Könnte natürlich sein .. würde mich aber etwas wundern - nach 5 Jahren guten Diensten aus heiterem Himmel. (Obwohl mich bei den Chinesen fast gar nichts mehr wundert )
Wie kann ich das ausschließen?
Ich kann die alte Server IP pingen und auch eine Domain (also die Domain wird korrekt aufgelöst und antwortet auf die Pakete).

Deine Pakete kommen an? Am Server sowas

Code: Alles auswählen

iptables -t nat -I PREROUTING -j LOG --log-prefix "chin-prer" -p tcp --dport 57734
iptables -I INPUT -j LOG --log-prefix "chin-inpu" -p tcp --dport 57734

Am client in China

Code: Alles auswählen

telnet alter-Server 57734

Code: Alles auswählen

telnet: Unable to connect to remote host: Connection timed out

Telnet scheint er nicht zu mögen.
Evtl. habe ich auch etwas konfiguriert - nicht installiert.
Aber wenn IP Tables leer sind .. was könnte es sonst noch sein das jeden Zugriff verweigert?

[Cae]

Code: Alles auswählen

telnet: Unable to connect to remote host: Connection timed out

Telnet scheint er nicht zu mögen.

Nein, das ist schon korrekt, auf dem Port lauscht ja auch nix. Aber wenn die Verbindung bis zum Server durchgekommen ist, solltest du im dmesg-Output bzw. in /var/log/syslog die Log-Meldung sehen (mit chin-inpu bzw. chin-prer drin).

Gruss Cae

[Transmitter]

dmesg ist komplett leer.
Und im Syslog wird nichts davon angezeigt.

Aber das ist der Fall wenn ich Telnet aus China probiere, aber auch vom neuen Server aus Österreich.
Da scheint irgendwas mit Telnet oder den Filtern nicht zu funktionieren :-S SSH kommt ja zumindest aus Österreich durch.

[rendegast]

dmesg ist komplett leer.

Wenn damit die Datei /var/log/dmesg gemeint ist,
liegt es wohl am Fehlern des Paketes bootlogd.
Dann die Ausgabe des Befehls 'dmesg' (Bei nicht ausrastenden Kernelmeldungen reicht der Puffer meist bis zur ersten Meldungszeile zurück

[ 0.000000] Initializing cgroup subsys cpuset
[ 0.000000] Initializing cgroup subsys cpu
[ 0.000000] Initializing cgroup subsys cpuacct
[ 0.000000] Linux version 3.12-0.bpo.1-686-pae (debian-kernel@lists.debian.org) (gcc version 4.6.3 (Debian 4.6.3-14) ) #1 SMP Debian 3.12.6-2~bpo70+1 (2014-01-07)
usw.
.....

)

Und im Syslog wird nichts davon angezeigt.

(var/log/syslog und var/log/messages sind zum großen Teil identisch)
Das ist eher seltsam, aber es gibt auch noch kern.log für die Kernelmeldungen.
Ein (r)syslog ist installiert und läuft?

[Transmitter]

Die Ausgabe von dmesg zeigt meinen Versuch aus China nun an:

Code: Alles auswählen

chin-prerIN=venet0 OUT= MAC= SRC=110.211.138.14 DST=178.72.71.164 LEN=60 TOS=0x10 PREC=0x00 TTL=51 ID=31461 DF PROTO=TCP SPT=1538 DPT=57734 WINDOW=14600 RES=0x00 SYN URGP=0 
chin-inpuIN=venet0 OUT= MAC= SRC=110.211.138.14 DST=178.72.71.164 LEN=60 TOS=0x10 PREC=0x00 TTL=51 ID=31461 DF PROTO=TCP SPT=1538 DPT=57734 WINDOW=14600 RES=0x00 SYN URGP=0 

Also komme ich von China prinzipiell an den Server ran und es sollte irgendwas auf dem Server laufen welches mich in China aussperrt ..?
Ich habe in meiner Browser History das hier gefunden:
https://www.countryipblocks.net/country_selection.php
habe es aber nicht benutzt (da ich mich selbst nicht aussperren wollte ...)

Gibt es noch andere Möglichkeiten außer IPTables, denyhosts, fail2ban komplette Länder auszusperren?

(r)syslog ist nicht installiert - fände ich jetzt auch nicht so schlimm - auf dem Server läuft nur noch eine Website und ich will den in einigen Monaten kündigen (Altersschwäche ...)

[kuno2k12]

Hallo Transmitter
Hast du dein Problem schon gelöst, oder brauchst du noch den einen oder anderen Tipp?

Wenn du noch Hilfe brauchst, hier einige Fragen:
- hast du in OE einen anderen Server, auf dem du dich anmelden kannst und deinen Server erreichst?
- hat mal jemand in umgekehrter Richtung, also von deinem Server zu dir nach China eine ssh-Verbindung zu initiieren? Damit könnten wir einen ssh-tunnel zu dir machen, über den du vorerst mal in deinen Server kommst.

MfG
Konrad