das ist aber ein anderer fehler dann bei dir.
ich habe den flux local laufen gehabt ne ganze zeit, euf einem debian.
vpm router portforwart für 10 ports wielich nie mehr files zeitgleich haben wollte.
und es hat immer super gefunzt, er hat grundsätzlich nur die erlaubten ports vom ersten bis letzen genommen, alle weileren files waren dann firewalled wenn mal eines mehr da war.
Also ein allgemeiner fehler ist das nicht.

@Pullerman
ja du musst schoin genau wählen was du zu machst... ich hab das so gehandelt dass alles zu ist, und nur port 80 und IMMER offen ist...
und natürlich die Flux Ports, aber da das ja im moment niucht klappt musst ich das einstellen... der betrieb des fluxes ist erstmal wichtiger...

@Feudas
ich kann mir das auch nicht erklären... ich hab ne portrange von 49XXX - 50XXX aber nutzen tut er eigentlich hauptsächlich (also nicht ausschließlich, manchmal hängt er an EINEM Richtigen Port) Ports die NICHT in dieser Range sind.

dh. ich hab files an Port 23XXX hängen... die bei der Konf eigentlich zu wären.
Mir hat das den ganzen Flux lahmgelegt... logischerweise....

Mir kommt das so vor als ob der wahllos ports nimmt wie er gerade lustig ist.

hm
du hast doch im flux die ports stehen die er verwendet
25342-52341 oder so
dann lässte den bereich offen damit der flux arbeiten kann
wenn du iptables -A FORWARD -p tcp --dport 25342:52341 -j ACCEPT
und iptables -A FORWARD -p udp --dport 25342:52341 -j ACCEPT
müßte das doch gehen es sei denn knock blockt den port FORWARD

Klar hab ich das so gemacht... aber es geht nicht... die ports sind zwar frei, aber flux nimmt nicht die angegebene Port range... strange...

hab ich aber oben schon 2 mal erklärt wie das bei mir is....
davon abgesehen hat das eigentlich nicht wirklich mit knockd zu tun... ich glaub bissl off topic is das schon... wobei... vll wärs gut zu wissen für den der auch dieselbe idee hatte wie ich... alles sperren bis aufs nötige...

hm...
nunja. sehr seltsam find ick...

Knockd ist doch auch nicht dafür gedacht das du damit alle deine ports absichern sollst das ist doch nur ne art zusatz absicherung für ports die oft genutzt und somit auch angegriffen werden wie zb ssh port 22 oder ftp port 21 usw aber sicher nicht alle die kannst du ganz einfach dicht machen das langt vollkommen

Es war eigentlich auch nur geplant dass ich den ssh und den mail damit immer auf und zu machen kann...

flux unf http sollten immer offen sein... aber da hat der flux nicht mitgemacht...

Besser spät als nie.

Es ist meiner Meinung nach überflüssig weil:
- zusätzlicher Aufwand
- ein ordentlich abgesicherter sshd völlig reicht ( key-login, kein root, evtl. port verlegt)
- es ein zusätzlicher Dienst ist, welcher zusätzliche Sicherheitslücken haben könnte, und daher sollte die Anzahl laufender Dienste grundsätzlich auf ein minimum reduziert werden.

Klar sehe ich auch die positiven Dinge des Knockd wie:
- um überhaupt den sshd angreifen zu können muss man erstmal die Sequenz erraten.

Allerdings macht ein key-login das relativ überflüssig.
1024bit keys sind mit normalen mitteln erst mit mehreren hundert Jahren Zeitaufwand knackbar.
768bit rsa-Keys wurden jetzt wohl durch cryptoanalyse hinfällig. Bzw der erste 768bit key wurde geknackt wie ich lesen musste heute, allerdings sind 1024bit deutlich aufweniger. Und mit 4096 bit o.ä. wird ein knackbarkeit nahezu ausgeschlossen.


Allerdings möchte ich hiermit keinesfalls deine Anleitung schlecht mache Solstice. Nur finde ich sollte man sich immer über die Pros und Contras einer Software informieren.

SOWAS nenn ich doch mal ne Begründung zu ner Meinung...

Danke... mehr wollt ich eigentlich gar nicht... ich hasse nur sinnlose bemerkungen die dann niemandem helfen... weder in technischer noch in meinungsbildender hinsicht.

wobei ne aussage wie port verlegen auch nicht haltbar ist den port verlegen bringt gleich 0 einmal nen scanner laufen lassen und jeder weiß in 5 min welchen port du für was nutzt

Die aussage ist falsch auch falsch in den Medien verbreitet,
Es wurde eine zahl die 768bit verschlüsselt war durch gegen und kreuz und key berechnungen errechnet.
der aufwand dafür war aber ederart gross das man 768 rsa noch lang nicht als geknackt ansehen kann.
nicht mal 512er sind wirklich geknackt.
Klar wenn ich in eine bank einbrechen will dann ist der aufwand de rnötig ist vieleicht ok aber für normale webserver würde das niemand machen.
und zu allem sollte man bedenken da sman nur durch die änderung der länge eines verschlüsselten passwortes die berechenbarkeit in die milionen jahre zeiträume verschieben kann.