Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Wie arbeitet Ihr mit euren Daten - direkt auf unRaid Server oder lokal?

Featured Replies

  • Community Expert
1 hour ago, Anym001 said:

Was haltest du davon, wenn man bestimmte Länder mittels einer solchen Datei freigibt?

Eine so dermaßen aufgeblähte .htaccess kann meiner Ansicht nach nicht so schnell sein, wie maximal 3 Checks ob die Datei XYZ.ip existiert, denn wenn man 10.000 IPs in die .htaccess packt, müssen die ja alle abgeglichen werden. Und das bei jedem Seitenaufruf.

 

Müsste man mal messen.

 

Man kann so eine Liste ja herunterladen und daraus ein Paket mit .ip Dateien machen, die man sich ins Firewall Verzeichnis legt. Ich baue dazu mal ein kleines Conversion Tool.

 

1 hour ago, Anym001 said:

Wie kann man den aktuellen IP Bereich herausfinden?

Ich glaube das geht nur mit einer Rückwärtsanalyse aller existierender IPs.

  • Replies 93
  • Views 15.5k
  • Created
  • Last Reply
9 hours ago, mgutt said:

Man kann so eine Liste ja herunterladen und daraus ein Paket mit .ip Dateien machen, die man sich ins Firewall Verzeichnis legt. Ich baue dazu mal ein kleines Conversion Tool.

 

Ich glaub das ist doch keine so gute Idee gewesen. 

Hab mir mal die Liste für AT runter geladen und alle eindeutigen Sätze für die ersten 3 Stellen gesucht. 

Da bleiben dann immer noch 3906 .ip Dateien über. 

 

9 hours ago, mgutt said:
11 hours ago, Anym001 said:

Wie kann man den aktuellen IP Bereich herausfinden?

Ich glaube das geht nur mit einer Rückwärtsanalyse aller existierender IPs.

 

Ich werde jetzt mal händisch einige Tage mitschreiben und schauen wie sich die IP-Bereiche so verändern. 

 

Mir geht es nur darum, da meine Frau und Ich hauptsächlich mit der mobilen Variante von Nextcloud (Apps Clients) arbeiten, bekommen wir nicht wirklich mit wenn es mal nicht funktioniert. Außer man beobachtet zB das die automatische Synchronisierung nicht mehr gelaufen ist. 

Dann müsste man sich auf der Website wieder anmelden und eine aktuelle .ip Datei erstellen lassen. 

Wäre für mich selbst kein Problem, nur für meine Frau soll das einfach funktionieren wenn sie es braucht. 

Darum die Idee mit IP-Bereichen zu arbeiten, weil man nichts bzw. nur sehr wenig nachtragen muss und die Angriffsfläche im Vergleich zu allen existierenden IP`s doch deutlich minimiert wird. 

  • Community Expert
1 hour ago, Anym001 said:

Ich glaub das ist doch keine so gute Idee gewesen

Warum nicht? 

23 minutes ago, mgutt said:
2 hours ago, Anym001 said:

Ich glaub das ist doch keine so gute Idee gewesen

Warum nicht? 

 

12 hours ago, mgutt said:

denn wenn man 10.000 IPs in die .htaccess packt, müssen die ja alle abgeglichen werden. Und das bei jedem Seitenaufruf.

 

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

 

Gerade erst gefunden. -> Es gibt sogar bereits eine IP Geoblocking App innerhalb von Nextcloud, bei der man gewünschte Länder freischalten kann. 

https://apps.nextcloud.com/apps/geoblocker

  • Community Expert
1 minute ago, Anym001 said:

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

Das hast du missverstanden. Mein Code prüft nur die Existenz von 3 Dateien. In dem Verzeichnis können daher problemlos 1 Millionen .ip Dateien liegen. Ich meinte, wenn man diese 4000 Regeln in die .htaccess packt, wie es die Website vorsieht. Das dürfte dann langsam sein, da dann wirklich alle 4000 IPs abgeglichen werden.

 

3 minutes ago, Anym001 said:

Es gibt sogar bereits eine IP Geoblocking App innerhalb von Nextcloud, bei der man gewünschte Länder freischalten kann. 

Was nützt dir diese App, wenn Nextcloud oder eine App eine Sicherheitslücke besitzt? Innerhalb von PHP/MySQL zu blockieren ist meiner Ansicht nach "zu spät".

 

Durch die .htaccess blockiert ja der Webserver selbst den Zugriff.

 

Wobei ich bei der App nicht mal sicher bin, ob sie überhaupt den allgemeinen Zugriff sperrt. Ich glaube die nimmt nur Einfluss auf die Login-Seite.

42 minutes ago, mgutt said:
59 minutes ago, Anym001 said:

Naja weil er dann immer noch diese ca. 4.000 Dateien abchecken müsste. (Thema Performance)

Allerdings immerhin besser als 10.000 

Das hast du missverstanden. Mein Code prüft nur die Existenz von 3 Dateien. In dem Verzeichnis können daher problemlos 1 Millionen .ip Dateien liegen.

 

Okay das hab ich leider falsch verstanden. 

Dann dürfte es kein Problem sein. 

 

Man könnte die gewünschte Datei sogar automatisiert downloaden lassen: 

https://www.ip2location.com/free/downloader

wget "https://www.ip2location.com/download?token={DOWNLOAD_TOKEN}&file={DATABASE_CODE}" -O {LOCAL_FILE_NAME}

 

ODER 

 

Abfrage hier nach IP Ranges. 

https://www.countryipblocks.net/acl.php

 

image.png.eb907b0987e41b32207acaa284e58889.png

 

42 minutes ago, mgutt said:

Was nützt dir diese App, wenn Nextcloud oder eine App eine Sicherheitslücke besitzt? Innerhalb von PHP/MySQL zu blockieren ist meiner Ansicht nach "zu spät".

 

Kenne mich in dieser Thematik leider nicht wirklich aus. 

Deine Lösung ist dann bestimmt sicherer, weil es früher "ansetzt". 

Edited by Anym001

  • Community Expert
46 minutes ago, Anym001 said:

Man könnte die gewünschte Datei sogar automatisiert downloaden lassen: 

Ja, aber nur gegen Bares:

https://www.ip2location.com/web-service/ip2location

 

46 minutes ago, Anym001 said:

Deine Lösung ist dann bestimmt sicherer, weil es früher "ansetzt". 

Ja, ist jetzt nicht "meine" Lösung. Der Code von ip2location macht ja ähnliches. Auf jeden Fall würde ich immer IPs vom Server selbst sperren lassen. Man kann so eine Firewall auch mit einer Blacklist umsetzen, dann wäre der Server sogar sicher gegen DoS Attacken. Ich nutze das auf meinen Websites aber nur gegen "Schnüffler". Also Bots, die nach Sicherheitslücken suchen. Dazu habe ich "Honeypots" verteilt wie zb ein leeres phpmyadmin/ oder wp-admin/ Verzeichnis und wenn das aufgerufen wird, wird die IP direkt gesperrt. Das aber eigentlich nur, damit diese Bots nicht meinen Server mit unsinnigen Anfragen bombardieren.

 

Ich erstelle als nächstes ein Paket mit den IP-Ranges.

 

Was ich gerade überlege: Man könnte auch eine E-Mail an den Admin senden lassen, wenn jemand die remote.php aufruft. Der könnte dann einen Freischaltungslink anklicken um eine IP freizuschalten. Vielleicht wäre das eine zusätzliche Lösung für mobile Clients. Die Frage ist dann nur wie viele Angreifer die remote.php öffnen. Weil sonst platzt das Postfach ^^

16 minutes ago, mgutt said:

Ich erstelle als nächstes ein Paket mit den IP-Ranges.

 

Das wäre super, weil da kann man schon mal sein Land "Whitelisten". 

Die Angriffsfläche ist somit ziemlich eingegrenzt und der Wartungsaufwand auch nicht sonderlich groß. (Bin mir nicht sicher wie oft diese IP-Ranges wechseln können)

 

17 minutes ago, mgutt said:

Man könnte auch eine E-Mail an den Admin senden lassen, wenn jemand die remote.php aufruft.

 

Wäre eine Möglichkeit, aber ob es dann noch notwendig ist? 

Mit der Freigabe von IP Ranges ist man denke ich schon auf einem guten Weg. 

  • Community Expert
2 hours ago, Anym001 said:

Bin mir nicht sicher wie oft diese IP-Ranges wechseln können)

Bei IPv4 denke ich so gut wie gar nicht. Die sind doch bestimmt sehr wertvoll. Die Telekom würde vermutlich alle nehmen, wenn sie könnte.

 

2 hours ago, Anym001 said:

Wäre eine Möglichkeit, aber ob es dann noch notwendig ist? 

Weiß man erst wenn es eingerichtet ist ^^ Halt für den Fall, dass deine Frau in einer Range ist, die noch nicht im Paket drin ist. Dann musst du der nicht erklären "geh auf die Seite bla bla".

1 hour ago, mgutt said:

Bei IPv4 denke ich so gut wie gar nicht. Die sind doch bestimmt sehr wertvoll. Die Telekom würde vermutlich alle nehmen, wenn sie könnte.

 

Dann dürfte das kein Problem sein. 

 

1 hour ago, mgutt said:

Weiß man erst wenn es eingerichtet ist ^^ Halt für den Fall, dass deine Frau in einer Range ist, die noch nicht im Paket drin ist. Dann musst du der nicht erklären "geh auf die Seite bla bla".

 

Man könnte es ja optional hinzufügen. (per 0 und 1 schaltbar)

Die Mail Adresse wird ja bereits verwendet, die könnte man hier dann auch wiederverwenden. (Würde die andere Benachrichtigungsfunktion auch noch mit 0 und 1 schaltbar machen -> Wenn 1 Dann greift er die hinterlegte Email ab)

On 3/31/2021 at 5:53 PM, mgutt said:

v0.3 ist fertig. Jetzt kann man IP-Bereiche freischalten, die Dateien enden auf .ip und der Firewall-Code steht nun ganz oben in der .htaccess.

 

Änderungen getestet.

Alles, bis auf die Email Benachrichtigung funktioniert.

On 4/1/2021 at 6:38 PM, Anym001 said:

Alles, bis auf die Email Benachrichtigung funktioniert.

 

@mgutt Hast du eine Ahnung warum die Email Benachrichtigungsfunktion nicht funktioniert?

  • Community Expert
On 4/7/2021 at 2:56 PM, Anym001 said:

Hast du eine Ahnung warum die Email Benachrichtigungsfunktion nicht funktioniert?

Gute Frage. Eventuell fehlt in dem Docker das Modul "Sendmail"?! Muss ich mal recherchieren.

 

Hier warum ich immer sage, dass man nie sicher sein kann, dass es nicht doch eine Lücke gibt:

https://www.heise.de/news/Gehackt-Windows-Ubuntu-Exchange-Teams-Zoom-Chrome-Safari-und-Edge-6010171.html

 

  • 2 weeks later...

Möchte hier kurz meine Erfahrungen der letzten Tage mitteilen:

 

Leider hat die erstellte Firewall von @mgutt das letzte Container Update nicht überstanden. 

 

Bin daraufhin zu SWAG gewechselt. 

 

Folgende Vorteile gegenüber NPM:

- Fail2ban          -> Schutz gegen Brute Force Attacken

- Geoblock         -> Möglichkeit der regionalen Blockierung von IP-Adressen (Ich habe zB aktuell nur IP-Adressen aus AT zugelassen)

X-Robots-Tag   -> Vermeidung, dass die Websiten von Suchmaschinen gefunden werden

 

Nachteil: 

- keine grafische Oberfläche

 

Habe folgende Anleitung umgesetzt: https://gist.github.com/quietsy/58590a640dd4f7a89696c68b0e6a8691

Es gibt auch noch ein Video von Spaceinvaderone der ein Video über den Vorgänger letzencrypt gemacht hat.

Die Anleitung ist auf Swag übertragbar.

 

Noch ein Tipp am Rande für SWAG: 

 

Normalerweise liegen die .conf Dateien für die proxy-confs in folgendem Ordner:

/mnt/user/appdata/swag/nginx/proxy-confs

 

Unbenannt1.png.26d37aab46eb198dafc3cedf50c9eaad.png

 

Habe hier keine Datei "aktiviert", sondern die default Datei im folgenden Verzeichnis bearbeitet und den Inhalt der vorgeschlagenen proxy-confs Dateien eingefügt. -> Somit befinden sich die Einstellungen für alle Proxyweiterleitungen in einer Datei und sind damit bei weitem übersichtlicher. 

/mnt/user/appdata/swag/nginx/site-confs

 

Unbenannt2.png.4f974de84e700fcd25b095780fafae15.png

Bei der Bearbeitung von solchen Config Dateien sollte man darauf achten daß man einen guten Editor wie Notepad++ benutzt und keinen Texteditor. Es kann sonst passieren daß Zeilenumbrüche falsch "interpretiert" werden und eine config nicht tut.

War bei mir auch schon so und dieselbe Bearbeitung hat mit Notepad++ funktioniert und mit einem anderen Programm aber nicht.

1 hour ago, MartinG said:

guten Editor wie Notepad++

Der gute alte "Editor" in Windows kann das auch (aber wie du schon sagtest @MartinG, richtig guter Editor). ;)

10 hours ago, ich777 said:
11 hours ago, MartinG said:

guten Editor wie Notepad++

Der gute alte "Editor" in Windows kann das auch

 

Der eingebaute Editor in Krusader funktioniert auch. :)

Archived

This topic is now archived and is closed to further replies.

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.