über die Suchfunktion habe ich leider nichts passendes gefunden, vielleicht habe ich aber auch nur falsch gesucht
Ich habe anhand des Tutorials ein PiHole und OpenVPN auf einer DigitalOcean Instanz aufgesetzt (Ubuntu 18.04).
Anfangs waren in meinen IPTable Regeln noch ein paar Überreste der UFW enthalten. Ein kurzer Check mit https://openresolver.com zeigte, dass ich da wohl etwas verkehrt gemacht habe...
Also habe ich zuerst die UFW deaktiviert:
sudo ufw disable
anschließend habe ich sämtliche IPTable Regeln gelöscht:
sudo iptables -F
und erstmal festgestellt, dass ich mich damit erfolgreich von meinem Server ausgesperrt hatte (Lernen durch Schmerzen...).
Nachdem ich meinen Zugriff wieder hergestellt hatte, habe ich die IPTable Regeln aus dem Tutorial angewandt:
SSH Zugang funktioniert wieder
VPN kann ich leider erst heute Abend testen.
Nun zu meinen Problemen:
Ich habe festgestellt, dass ich nicht mehr auf den Web-Admin zugreifen kann.
Geht das nur wenn ich über den VPN verbunden bin (Das wäre ideal)? Oder habe ich irgendwas in den Regeln vermasselt?
Seit dem die neuen Regeln gelten kann ich keine Pakete mehr installieren oder updaten.
Err:1 http://mirrors.digitalocean.com/ubuntu bionic InRelease
Temporary failure resolving 'mirrors.digitalocean.com'
Err:2 http://security.ubuntu.com/ubuntu bionic-security InRelease
Temporary failure resolving 'security.ubuntu.com'
Err:3 https://repos.sonar.digitalocean.com/apt main InRelease
Temporary failure resolving 'repos.sonar.digitalocean.com'
Err:4 http://mirrors.digitalocean.com/ubuntu bionic-updates InRelease
Temporary failure resolving 'mirrors.digitalocean.com'
Err:5 http://mirrors.digitalocean.com/ubuntu bionic-backports InRelease
Temporary failure resolving 'mirrors.digitalocean.com'
Reading package lists... Done
Building dependency tree
Reading state information... Done
6 packages can be upgraded. Run 'apt list --upgradable' to see them.
W: Failed to fetch http://mirrors.digitalocean.com/ubuntu/dists/bionic/InRelease Temporary failure resolving 'mirrors.digitalocean.com'
W: Failed to fetch http://mirrors.digitalocean.com/ubuntu/dists/bionic-updates/InRelease Temporary failure resolving 'mirrors.digitalocean.com'
W: Failed to fetch http://mirrors.digitalocean.com/ubuntu/dists/bionic-backports/InRelease Temporary failure resolving 'mirrors.digitalocean.com'
W: Failed to fetch http://security.ubuntu.com/ubuntu/dists/bionic-security/InRelease Temporary failure resolving 'security.ubuntu.com'
W: Failed to fetch https://repos.sonar.digitalocean.com/apt/dists/main/InRelease Temporary failure resolving 'repos.sonar.digitalocean.com'
W: Some index files failed to download. They have been ignored, or old ones used instead.
Ja, Firewalls sind immer ein delikates Thema wenn man damit keine Erfahrungen hat. iptables ist definitiv ein Paket im besten Sinne von "Von großer Macht kommt große Verantwortung".
Das Problem ist hier Temporary failure resolving [...]
Deine Regeln besagen eigentlich dass TCP/HTTP durchgelassen werden sollte. Welche Netzwerkkarten ("Interfaces") gibt es auf dem Server? Passt das zu den konfigurierten Firewall-Regeln?
(iptables -vL zeigt auch die konfigurierten Interfaces).
Okay, die ausführlicher dargestellten iptables Regeln sehen soweit korrekt aus und sollten genau das tun (http/domain nur über VPN erlauben).
Die Rückgaben von dig sind seltsam, Dein Server kann also keine externen DNS Server erreichen, bzw. deren Antworten kommen nicht durch Deine Firewall nicht wieder rein. Eigentlich sollte die zweite INPUT Regel (state RELATED,ESTABLISHED) genau das sicherstellen, nämlich dass Antworten auf ausgehende Verbindungsanfragen wieder herein gelassen werden.
Funktioniert die dig Kommandos wenn Du vorübergehend
iptables -P INPUT ACCEPT
ausführst? Achtung, damit wird die Firewall natürlich überwiegend wirkungslos, Du kommst mit
Aktuell kommen da genau die selben Meldungen zurück wie vorher auch. Allerdings bin ich gerade auch wieder aus der SSH Session geflogen und kann aktuell nur über die DigitalOcean Web-Console auf den Server zugreifen. Diesmal allerdings ohne dass ich Änderungen an der Firewall vorgenommen hätte
Bei DO kam gerade noch eine Meldung dass sie Probleme im Bereich NYC3 haben, mein Server ist im NYC1 Bereich. Vielleicht läuft da ja auch etwas bei DO schief?
Das war eher aus Prinzip ... ich dachte mir wenn ich schon einen VPN mache, dann kann ich ihn auch gleich wo anders stationieren
Eventuell setz ich mir noch einen in FRA als Rückfallebene und zum Testen auf.
Ich denke ich warte mal bis heute Abend ab, da kann ich auch besser Testen und melde mich dann nochmal
Gestern Abend habe ich noch mit dem DO Support hin und her geschrieben. Sie konnten keine Ursache und Lösung für die Verbindungsprobleme finden und haben vorgeschlagen über die recovery Iso zu booten um die Dateien zu retten. Da es allerdings nicht viele Dateien zu retten gab, habe ich kurzerhand die Kiste plattgemacht und ein neues Droplet in SF2 erstellt.
Soweit ich das beurteilen kann funktioniert jetzt alles wie angedacht.
VPN funktioniert
Web-Admin ist nur erreichbar wenn man im VPN Tunnel ist
PiHole blockt erfolgreich Queries https://openresolver.com sagt:
Recursive resolver is not detected on x.x.x.x
IP address x.x.x.x is not vulnerable to DNS Amplification attacks.
Die aktuellen iptables Regeln sehen wie folgt aus:
Einen Fehler den ich bei der ersten Instanz begangen habe war es bei der PiHole Installation PiHole die Server IP statt 10.8.0.1/24 wie im Guide beschrieben zu verpassen. War das vielleicht der Grund wieso der Server als Open Resolver erkannt wurde?