Gameserver über DynDNS mit Portfreischaltung zu Linux Server, Sicherheitslücke?

    Hallo Zusammen,

    ich hatte gestern ein ausführliches Gespräch mit jemandem der behauptet im Jahre 2025 und auch schon die Jahre zuvor sollte man aus sicherheitstechnischen Gründen auf keinen Fall zuhause einen öffentlich erreichbaren Gameserver betreiben, schon gar nicht im selben Netztwerk wo auch die ganzen anderen Geräte dran hängen. Als ich ihm dann erklärt habe wie mein Server Spiel und sichtbar ist, wollte er davonrennen. Jetzt eine Frage an Euch, ist es heutzutage wirklich so schlimm und ich sollte den Server lieber abschalten?

    Aufbau:

    Ich habe einen Linux Server (Lubuntu) auf dem ein BF1942 Server läuft und sonst nix drauf ist. Für dieses eine Gerät habe ich natürlich in der Fritzbox 7590 die benötigten Ports freigeschaltet:


    Damit bei einen Stromausfall oder was auch immer (IP-Wechsel) der Server weiterhin auf Gametracker sichtbar ist, habe ich bei no-ip eine dyndns eingerichtet. Somit aktualisiert meine Fritzbox über den dyndns Dienst stets die stats auf der Gametracker Website:

    https://www.gametracker.com/server_info/bf42.ddns.net:14567/

    Nun ist es so, das man auf dieser Website den Namen der dyndns Adresse und natürlich meine "klare" derzeit verwendete "online" IP sehen kann.

    Wenn man jetzt 1und1 zusammenzählt und weiß das ich einen BF42 Server betreibe, hat man meine IP und mit 10 sek Recherche auch die mit hoher Wahrscheinlichkeit freigeschalten Ports.


    Jetzt meine Frage:

    Stellt das ein Sicherheitsrisiko für meine anderen Netzwerkgeräte dar? oder kommt ein potentieller Angreifer maximal auf meinen Linux Server, wo eh nix anderes drauf ist als der BF42 Server?

    Weil die Portfreigabe gilt ja nur für diesen PC im Netzwerk.

    In welche Richtung sind diese Ports freigeben?

    Hast du ein Modernes Windows am Netz? 10? 11? Wenn ja, ist ehh schon wer in deinem Netz der nicht reingehört und du brauchst dir keine weiteren Gedanken machen.

    Die Ports sind vermutlich in beide Richtungen offen, das konnte ich nicht bestimmen. Einfach für Gerät XY Port auf IPv4 freigeben, Teilweilse TCP, Teilweise UDP.

    Sie sind dafür da, 1. das man auf dem Server spielen kann, 2, dass der Server in der Gameserverliste gefunden werden kann, und 3. das ist ein remote Console Port, damit ich den Linux Server von einem Windows PC aus mit einer graphischen Oberfläche steuern kann.

    Moderne Windows, wie Win10 und Win11 sind auch im selben Netzwerk. Aber keine alten Sachen wie Windows 7. dann nur Mobile Geräte (Apple/Android), Spielkonsolen,- TV Geräte, Amazon Sticks.

    Du hast halt mehrere Ports von aussen offen, es könnten natürlich Sicherheitslücken ausgenutzt werden. Ist auch die Frage wie gut du das Linux aktuell hälst...


    Was du auf die schnelle machen könntest:

    Fritzbox Firmware ist aktuell?

    Je nach Fritzbox, hast du die Möglichkeit den Gastzugang auf einen LAN Port zu aktivieren, da wäre dann das Gastnetz drauf. Du könntest dann deinen Server daran hängen und dieser wäre dann in einer anderen IP Range und zumindest mal logisch von deinem Heimnetz getrennt.
    Müsstest dann die IP im Linux ändern und die Portfreigaben abändern.

    Danke für die Infos, mein Linux ist eine LTS Version von Lubuntu welche ich alle paar Monate mal ein fullUpgrade laufen lasse.

    Firmware der Fritzbox und des Repeater sind aktuell.

    Das mit dem Gastzugang ist eine gute Idee. Die IP im Linux ändern bedeutet, der Router vergibt dem Server eine neue IP: z.b. von 192.168.1.555 zu 192.168.100.333

    Dementsprechend dann im Servermanager anpassen und in der Fritzbox die bestehenden Portfreigaben auf die "neue" interne IP abändern.

    Ich würd mir da zuerst über das Programm sorgen machen das die Dienste anbietet. In deinem fall Battlefield 1942. Wenn jemand weiß welches Programm, in welcher Version auf der IP läuft, könnte er eine Sicherheitslücke ausnutzen.

    In dem Fall wäre das aber ein gezielter Angriff.

    Das ist auch der Grund warum viele keinen Shoutcast Server mehr laufen lassen wollen. Leider :(

    Leider sind das alles Informationen die "nicht" Geheim sind. Selbst wenn du nur in den Ingame-browser guckst, steht dann meine IP dran und welche BF42 Version läuft. Das ist leider so, damit die Leute connecten können. Die letzte offizielle Patch Version für den Client kam glaube 2012, seid dem nur noch community patch weil der Master Server ab und an gewechselt wurde und andere kleine Hotfixes wie z.b. ein Menue bis 4K und nicht nur 800x600. Aber denke nichts Sicherheitstechnisches. und die Server Versionen von BF42 Grundgerüst sind halt 2004 oder so. Da gabs dann nochmal 2006 ein Server Manager Patch, aber der Rest ist Ur-Alt. Nur die Mods sind halt neuer und werden sogar noch aktuell entwickelt, aber das sind nur Inhalte und nix mehr was am Grundgerüst was ändert.

    Quote from Strauchdieb

    schon gar nicht im selben Netztwerk wo auch die ganzen anderen Geräte dran hängen.

    Du nutzt wirklich das gleiche Netz? :gadget:

    Diskutiere niemals mit Idioten, sie ziehen dich auf ihr Niveau runter und schlagen dich mit ihrer Erfahrung.
    Mein Herzblut:
    AMD 5x86-P75, 64MB-Ram, Voodoo I, Win3.11
    AMD K6-2+ 550 @ 600MHz, 256 MB-Ram, Voodoo II SLI, Win98SE
    AMD 3700+, 3072MB-Ram, ATi FireGL X3-256    , WinXP SP3 (Sockel 754)

    Ok noch einmal ausführlicher.

    Kannst du deinen Screenshot mal Grösser machen?

    Das ganze sieht mir danach aus, als würdest du NAT machen?

    Also:

    ServerPort am ServerPort im InternetName
    192.168.1.1620002000BF1
    192.168.1.1620012001BF2
    192.168.1.1880009900Beispiel

    Das ganze ist NAT.

    Wenn jetzt jemand aus dem Internet sich jetzt zu dir Verbindet. z.b. mit Strauchdieb.example:9900 Dann wird diese Anfrage zu dem Server 192.168.1.18:8000 weitergeleitet. Oder bei Strauchdieb.example:2001 wird er zu 192.168.1.16:2001 weitergeleitet.

    Es können also von außen nur bestimmte Bereiche deines Netzes angegriffen werden.

    Generell gibt es 3 Dinge, welche ein Angreifer jetzt tun will:
    1. Er will deinen Internet Zugang dichtmachen
    2. Er will Daten haben.
    3. Er will in dein Netz.

    1. Kann er einfach mit einem DDOS Angriff machen. Hierzu braucht er nicht unbedingt einen offenen Port.

    2. Er kann sich in die Mitte zwischen deine Spieler und den BF Server klemmen. Er kann mitloggen, was die Spieler machen, worüber sie Chatten etc. Ich denke mal BF hat nicht wirklich eine Verschlüsselung...
    Dieses Scenario kann für alle Menschen, welche WA, TikTok, Facebook oder Ähnlich nutzen Ignoriert werden, da sie ehh schon fleißig alle möglichen Unternehmen mit ihren Chatdaten füttern. Ansonsten, es gibt bessere Ziele...

    3. Hier liegt der Wurm begraben. Ein Angreifer braucht jetzt einen RemoteCodeExploit für Battlefield, den Linux Netzwerkstack, oder deiner Netzwerkkarten Firmware. Ersteres gibt es evlt. Zweiteres wird verdammt schnell gepatcht sein, und Netzwerkkarte? Pech gehabt. Ich frage mich sowieso wo hier die Angriffe in massen bleiben.

    Jetzt kann dein Angreifer also Code auf deinem System ausführen. Muss er sich evlt noch root Rechte besorgen? Was kann er von hier aus machen? Dein Netzwerk Angreifen? Daten auf dem System Löschen? etc.

    Generell ist es ein deutlich! einfacher Weg, dir Hardware oder Software unterzujubeln, welche Daten nach Hause sendet. Hast du Smarthome Geräte, mit Internet Zugriff? Einen Smarten Stromzähler? Windows 10 oder 11 Systeme? Android? Einen neueren Fernseher? Alexa? Modernes Apple Zeug? All diese Geräte Sammeln Daten über dich, dein Netzwerk etc. Es geht aber noch Besser. Man kann z.B. einfach eine Smarte Glühbirne mit Handy Software anbieten. Diese Verbindet sich schön zu deinem eigenen Server und hängt im Netz des Benutzers. Netzwerkscan von der Glühbirne aus? Kein Thema, Irgendein verwundbares System gefunden? Herzlichen Glückwunsch. Jetzt machst aus der Glühbirne einen SSH Jumphost und dir gehört das Netz.

    Du kannst den Server in eine DMZ schieben. Dieses sollte das ganze sicherer machen. Dann nimmst du ein minimal Debian und einen Cronjob, welcher einmal in der Woche das System updated, und du bist deutlich sicherer unterwegs.

    98% Der Angriffe aus dem Internet laufen Automatisch. Portscan auf Standardports, check auf verwundbare Standardsoftware, automatisches exploit.

    Mach das nicht. Aus Prinzip schon nicht.

    Habe selber auch drei Netze bei mir. Ein "Gast-" für Besuch oder Smart Home oder so etwas, ein "Retro-" und mein "Normales-Netz".

    Und selbst diese sind in verschiedenen Adressbereichen und nicht nur auf der 192.168.......

    Diskutiere niemals mit Idioten, sie ziehen dich auf ihr Niveau runter und schlagen dich mit ihrer Erfahrung.
    Mein Herzblut:
    AMD 5x86-P75, 64MB-Ram, Voodoo I, Win3.11
    AMD K6-2+ 550 @ 600MHz, 256 MB-Ram, Voodoo II SLI, Win98SE
    AMD 3700+, 3072MB-Ram, ATi FireGL X3-256    , WinXP SP3 (Sockel 754)

    Quote from Kaitou

    Ich würd mir da zuerst über das Programm sorgen machen das die Dienste anbietet. In deinem fall Battlefield 1942. Wenn jemand weiß welches Programm, in welcher Version auf der IP läuft, könnte er eine Sicherheitslücke ausnutzen.

    In dem Fall wäre das aber ein gezielter Angriff.

    Das ist auch der Grund warum viele keinen Shoutcast Server mehr laufen lassen wollen. Leider :(

    Jemand der einen gezielten Angriff durchführen kann und will, findet nach einigen Minuten rumsuchen, sicherlich bedeutend interessantere Ziele als einen alten Gameserver. Aber klar, das Risiko ist niemals null.

    Bier.jpg

    Den Screenshot werde ich sicherheitshalber bald wieder entfernen. Aber das wolltest du sehen oder? Wobei, wer 1 und 1 Zusammenrechnen kann bekommt das eh erschlossen, dank Gametracker Website und den tausenden Foren wo BF42 Portfreigaben beschrieben sind. Also wer will hat kein Problem.

    Mir gehts Hauptsächlich um folgendes:

    Der Linux Server ist mir recht egal. da liegt nix privates und wenn den jemand löscht. dann ists halt so. Mir gehts eher darum ob durch oben beschriebenes meine Restlichen Geräte wie Haupt Gaming PC, Smartfones usw. erhöhtem Risiko durch spionage oder manipulation ausgesetzt sind. z.b. Paypal Daten im Browser oder ähnliches?

    Naja, jemand kann den Linux Server übernehmen und von dort aus dein Netz angreifen.

    Ich hoffe doch BF läuft nicht unter einem Root Account?

    Du hast wie oben schon gesagt deutlich einfachere / lohnenswertere Einfallstore in dein Netz als einen BF Server. Du brauchst dir um einen brennenden Strauch keine Gedanken machen, wenn der ganze Wald in Flammen steht.

    Ich schätze die Risiken hier recht gering ein. Für einen manuellen Angriff bist du kein hinreichend lukratives Ziel. Ein gezielter, manueller Angriff kostet Mannstunden und damit Geld. Nachdem die meisten manuellen Angriffe heutzutage entweder monetär oder politisch motiviert sind (oder beides) ist ein solcher Angriffsvektor als nahezu vernachlässigbar anzusehen. Zudem kommt: Je obskurer bzw. weniger gängig deine Serverdienste sind, desto unwahrscheinlicher wird ein manueller, gezielter Angriff.

    Automatisierte Angriffe zielen meist auf spezifische Webs (z.B. eine WordPress oder Typo3 Installation, o.ä.) oder aber auf Dienste wie SSH, SMTP und auch noch FTP ab. Das sind die Klassiker.

    Richtig liegt Bier.jpg damit das Superuserproblem anzusprechen: Laß deinen Spieleserverdienst nicht unter dem Superuser root laufen, sondern unter einem unpriviligierten Benutzerkonto. Wenn das aktuell noch nicht so wäre müßtest du das entsprechend einrichten. Der Dienst muß dann auf einem Port über 1024 lauschen, was aber eh der Fall zu sein scheint. Zudem solltest du die Session dieses BF42 Kontos nichtinteraktiv machen, um das Konto zusätzlich zu härten. Dazu stellst du die Loginshell auf /usr/sbin/nologin anstatt z.B. /bin/sh: # chsh -s /usr/sbin/nologin benutzernamehier.

    Halte deinen Linux Server immer up-2-date (z.B. in Form eines wöchentlichen Patch Days) und stelle keine Dienste in's Netz, die du nicht auch unbedingt brauchst. Jeder unbenutzte Dienst erweitert nur sinnlos die Angriffsfläche.

    Wenn tatsächlich jemand über deinen BF42 Server einbricht und es bis auf eine interaktive Shell schafft, dann ist das zwar schlimm, aber nicht katastrophal. Er könnte fast nur den BF42 Server und alle Daten deines BF42 Nutzerkontos manipulieren oder zerstören. Was er z.B. grade noch so könnte wäre es, Schadsoftware in das Nutzerverzeichnis zu installieren und z.B. Spam zu verschicken. Auch könnte er sich in's Shared Memory Subsystem von Linux pflanzen (/dev/shm/) und von dort aus nicht-persistent agieren, also bis zum nächsten Neustart der Maschine.

    Eine Firewallregel die zumindest alle ausgehenden Verbindungen auf Ports 25 (SMTP), 465 (SMTPS) und 587 (SMTP+STARTTLS) auf der Servermaschine blockiert kann schon Mal Spam-/Scambots die Zähne ziehen. Für Bots die Webs im Internet angreifen wollen könntest du noch Ports 80 (HTTP) und 443 (HTTPS) inkludieren. Ports 21 (FTP Kontrollkanal) und 22 (SSH) sind auch nicht falsch. So landest du nicht auf irgendwelchen schwarzen Listen, falls es zu einem erfolgreichen Angriff kommt. Auch korrekt sind die Empfehlungen die Netzwerke zu trennen. Routing- und Firewalltechnisch könntest du der Servermaschine verbieten, auf irgendwas in deinem LAN zuzugreifen.

    Das wären Mal so ein paar Grundideen die mir ad hoc in den Sinn kommen, ein paar wurden ja eh schon erwähnt, die wollte ich nur bekräftigen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡! Edit: 2024, finally last year's dry spell is over!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Edited 3 times, last by GrandAdmiralThrawn (March 6, 2025 at 8:23 AM).

    Vielen Dank für Eure ausführliche Teilnahme an dem Thema. Ich schaue das ich so viele wie möglich von den Tipps umsetzen kann. Die Gastzugang, IP Bereichs-trennung sollte ich hinbekommen. Auch die aktualisierung des Systems. und ich werde mal testen welche von meinen Freigaben nicht mehr unbeging nötig sind und sie auf das mindeste reduzieren. (Server finden, tracken, daruf spielen, remote Administrieren), evtl. geht das schon mit der hälfte der Freigaben oder zumindest mit einzelnen Ports und nicht ganzen Bereichen wie jetzt. Bzgl. root und superuserrechten muss ich mal schauen. Ich weiß das ich damals den SUDO Befehlt benötigt habe um den Server zu installieren. Zum starten aber denke ich nicht. bzgl. User muss ich auch gucken, es gibt glaube nur einen und das bin ich.

    DIe ganzen Port Geschichten aus den Tipps von GAT muss ich schauen ob ich das gebastelt bekomme. Bin in der Shell von linux alles andere als fit. Bin froh das ich das überhaupt zum laufen bekommen habe und das Ding seit 4 Jahren rennt.

    Vielen Dank auf jeden Fall für Eure Hilfe

    Also das ist ein modernes Linux mit firewalld? Einfach nachweisbar wenn command -v firewall-cmd sowas wie "/usr/bin/firewall-cmd" zurückgibt. Dann könnten wir gemeinsam Firewallregeln direkt auf'm Linux Server einrichten.

    Ich habe mir den Server Mal selber geladen und ihn inspiziert. Klassisches .run File, recht gängig bei proprietärer Software für Linux. Der rennt ja auch gar nicht als Dienst, sondern wird einfach interaktiv auf'm Terminal mit einem start.sh Skript gestartet so wie ich das sehe. Deswegen hat er wohl auch weniger Probleme mit modernem Linux, weil er kein systemd-Zeug braucht.

    Und der Server läßt sich als normaler Benutzer in irgendein bestehendes Verzeichnis (z.B. /home/meinbenutzer/bf1942/) installieren. Das ist sehr sauber und eliminiert unser root-Problem, wenn man den "Dienst" dann einfach unter dem normalen Benutzerkonto startet, mit dem man den Server auch installiert hat.

    Natürlich wäre weiterführende Abhärtung ned verkehrt (Keine Loginshell für den Nutzer der das ausführt), aber eventuell führt das zu weit. Weil das braucht dann schon ein bissl was an Rekonfiguration und man muß händisch einen Dienst bauen um das Ding beim Booten mitzustarten. Kann man machen, habe ich auch schon, aber steht vielleicht ned dafür.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡! Edit: 2024, finally last year's dry spell is over!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Edited once, last by GrandAdmiralThrawn (March 6, 2025 at 9:59 AM).

    Ja genau, ist eine start.sh Skript datei die ich nur starten muss. zudem noch eine zweite Geschichte um den remote Zugang zu aktivieren. Damit ich Depp über einen Windows PC mit grafischer klicki-bunti Oberfläche alles was den Gameserver betrifft einstellen kann. Das geht dann über Port 4711.

    BFRM (Battlefield Remote Manager)

    BFSM (Battlefield Server Manager)

    BFSM & BFRM Downloads - BF-Games.net

    Beim Gastzugang der FRITZ!Box musst du schauen ob das klappt. Soweit ich weiß lässt die Fritte nicht alles an Traffic durch.

    Ansonsten sehe ich das ähnlich wie die Vorposter, Risiko ist da aber in meinen Augen nicht riesig groß. Ich persönlich würde so einen Server aber nur in einem abgeschirmten Vlan betreiben.

    Unter der Annahme daß du IPv4 und firewalld hast, auf einem Terminal mit sudo su zum Superuser root wechseln. Wir starten die Firewall (sofern sie ned eh schon rennt), definieren eine neue Outgoing Policy mit deinem Server als Quelle und allen Netzen als Ziel und blocken dann einige ausgehende Verbindungen für den Fall daß sich Mal doch jemand bei dir einnisten sollte.

    Achtung: Wenn du das testen willst, dann laß bei untenstehenden Kommandos einfach überall die Option --permanent weg. Dann sind die Regeln nach einem Neustart der Maschine nämlich alle wieder weg und du bist wieder im Ausgangszustand.

    Start:

    Code
    systemctl enable firewalld
systemctl start firewalld

    Neue Policy "block-outgoing", die in der standardmäßigen "public"-Zone deiner Firewall angewendet wird:

    Code
    firewall-cmd --permanent --new-policy="block-outgoing"
firewall-cmd --permanent --policy="block-outgoing" --add-ingress-zone="HOST"
firewall-cmd --permanent --policy="block-outgoing" --add-egress-zone="ANY"
firewall-cmd --reload

    Jetzt fügen wir die entsprechenden Blockregeln zu dieser Policy hinzu:

    Code
    firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="21" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="22" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="25" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="80" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="443" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="456" drop'
firewall-cmd --permanent --policy="block-outgoing" --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0" port protocol="tcp" port="587" drop'
firewall-cmd --reload

    Für den Fall daß firewalld jetzt den Zugriff auf deinen Gameserver auch blockt (sehr wahrscheinlich der Fall), braucht's noch explizit erlaubende Regeln. Den Managementport könntest du auf die LAN IP deiner Windows Box mit dem Managementtool einschränken, die ich hier als IP 192.168.0.10/24, also mit einer Subnetzmaske von 24 Bits (255.255.255.0) annehme. Hierfür ist die Nutzung einer Firewallpolicy nicht nötig. Edit: Falls du dich auch per SSH von deiner Windowsbox kommend anmeldest, dann auch den Port 22 dazunehmen, so wie unten zu sehen:

    Code
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.10/24" port protocol="tcp" port="22" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.10/24" port protocol="tcp" port="4711" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="14567-14569" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="14667-14669" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="14690-14693" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="22000-22009" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="14690-14693" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="udp" port="27900" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="28900" accept'
firewall-cmd --reload

    Und wenn ich ned irgendwo gröber verschissen oder Typos eingebaut haben sollte müßte das gehen. Die Regel für'n 4711er Port müßtest du halt für dich anpassen, und deine Managementmaschine sollte dann natürlich auch immer die gleiche, feste IP haben.

    Da haben wir zwar irgendwie den Wagen vor die Pferde gespannt, weil wir uns da schon auf den Fall nach einem erfolgreichen Angriff vorbereiten, aber so lärmt deine Maschine im Netz zumindest weniger herum, so das denn Mal passieren sollte. Wenn der BF1942 Server kritische Lücken haben sollte können wir dagegen eh nichts weiter machen.

    Wenn du nur bestimmte Leute auf deinem Server lassen möchtest, könntest den Zugriff natürlich auf deren IPs einschränken. Aber ich schätze Mal das wird nicht der Fall sein, also lassen wir mit obenstehenden Regeln die ganze Welt auf deinen BF1942 Server hinverbinden.

    Jetzt nur noch Ctrl+d drücken um ein End-of-File Symbol an das Terminal zu senden, das meldet den Superuser root wieder ab und kehrt zum normalen Benutzer zurück. Nochmal die Tastenkombination und dein Terminal logged aus bzw. das Terminalemulatorfenster geht zu, falls du auf einer grafischen Benutzeroberfläche sitzt am Lubuntu.

    Edit: Wenn du jetzt natürlich losrennst um deine Netzwerke sauber zu trennen, dann solltest die Firewallregeln eventuell erst hinterher einpflegen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡! Edit: 2024, finally last year's dry spell is over!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Edited 6 times, last by GrandAdmiralThrawn (March 6, 2025 at 1:59 PM).