Zugriff auf Raspberry-Server sichtbar machen?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Zusammen, ich habe meinen Raspberry erfolgreich mit SSH und VNC ausgestattet und alles läuft Prima. Hab auch einige Tools zum Zugriff auf SSH einschränken installiert, dennoch weiß ich nicht ob meine freigebene Ports wirklich sicher sind...

    Gibt es irgendein Tool oder Befehl mit dem ich vom Raspberry aus sehen kann, wer (welche IP) und wie oft diese IP versucht hat auf meinen Server zuzugreifen?
    Danke im voraus!

    Gruß,
    Marci1111


  • Gibt es irgendein Tool oder Befehl mit dem ich vom Raspberry aus sehen kann, wer (welche IP) und wie oft diese IP versucht hat auf meinen Server zuzugreifen?


    Versuch mal z. B. mit:

    Code
    sudo tcpdump -vvveni any not host <IP-Adresse-SSH-Client> and not arp and not udp port 123 and not udp port 53 and not udp port 67

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ...Versuch mal z. B. mit:

    Code
    sudo tcpdump -vvveni any not host <IP-Adresse-SSH-Client> and not arp and not udp port 123 and not udp port 53 and not udp port 67

    Habe das eben ausprobiert bei mir. Dabei traten dann noch igmp und cups/bc Requests auf. Nachdem ich dann

    Code
    and not host 192.168.0.255 and not igmp

    angehaengt habe sieht es gut aus :thumbs1:. Vermutlich muss der TE auch noch ein paar Requests ausfiltern je nachdem was für apps bei ihm im lokalen Netz laufen.


  • ... ... auf meinen Server ...

    Ist dein Raspberry-Server in einem lokalen Netz (hinter einem Router) oder direkt im Internet (... mit einer externen/öffentlichen) IP-Adresse?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • sowohl als auch, habe ihn als NAS/Musikserver im lokalen Netzwerk eingerichtet aber dann mit Port Forwarding und Dynamic DNS (no-ip.com) ins Internet verbunden...
    Wenn du ähnliches vor hast, musst du jedoch deine offenen Ports mit absichern, da gibts haufenweise Tutorials über SSH zugriff einschränken, denyhosts, fail2ban und sshguard (um die bekanntesten zu nennen)

    gruß,
    Marci1111


  • ... mit Port Forwarding und Dynamic DNS (no-ip.com) ins Internet verbunden...
    ...

    Dann ist dein Pi nicht direkt im Internet (d. h. ein Interface mit einer externen IP-Adresse), sondern über einen Router mit dem Internet verbunden. Mit tcpdump wirst Du dann nicht sehen können, was und wie auf deinen Pi zugreifen will, es sei denn, Du kannst tcpdump auf deinem Router benutzen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ... Mit tcpdump wirst Du dann nicht sehen können, was und wie auf deinen Pi zugreifen will,

    Warum nicht? Jede IP die nicht aus dem lokalen Netz auf die Pi zugreift kommt aus dem INet. Allerdings auch die berechtigten Zugriffe. Das Problem ist nun die berechtigten von den unberechtigten zu unterscheiden :s


  • Warum nicht?


    Weil der TE im Router keine (Port)weiterleitungen für alle Ports und alle Protokolle, auf die bzw. mit denen aus dem Internet auf ein "border device" zugegriffen werden kann, machen wird.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • ... ein VPN dazwischen schalten?

    Nein, zum sichtbar machen der Zugriffe, brauchst Du kein VPN.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ich habe gemeint dass ich den fernzugriff über das internet über ein vpn laufen lasse, dadurch wird ja mein datenverkehr verschlüsselt (UserID und PW) und ich muss mir schonmal garnicht gedanken über Sicherheit machen...


  • ich habe gemeint dass ich den fernzugriff über das internet über ein vpn laufen lasse, dadurch wird ja mein datenverkehr verschlüsselt (UserID und PW) und ich muss mir schonmal garnicht gedanken über Sicherheit machen...

    OK, das könntest Du auch machen. ssh ist aber auch sicher. BTW: Benutzt Du z. Zt. die vnc-Verbindung, durch einen (verschlüsselten) ssh-Tunnel?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • noch nicht, ich bin einen schritt zurück gegangen und hab jetzt nur ssh und remotezugriff im lokalen netzwerk...
    jetzt werde ich in meiner fritzbox einen port öffnen und das vnc einrichten, eben wegen der verschlüsselung...
    denyhost und fail2ban sind noch drauf und warten sozusagen nur noch drauf bis ich den raspberry ins internet darf.

    gruß,
    Marci1111

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!