Hallo!

Ich hab die sufu schon befragt - ab entweder mit den falschen suchworten - oder aber es gibt keinen thread dazu.

folgendes möchte ich erreichen:

es sollen nur GET anfragen beim apache ankommen, die einen von mir definierten string erhalten. alle anderen anfragen sollen _vor_ dem apache gedroppt werden.
wie aufwändig ist das ganze? ist es ohne weiteres überhaupt möglich? hat das schonmal jemand versucht?

sinn und zweck der übung soll sein, dass nur eine einzige art von anfragen den apache überhaut erreicht. irgendwelche dll`s oder raw daten sollen halt vor dem apache stranden.

greets, Nik

Nun evtl. lässt sich soetwas mit htaccess machen.

Gruß

Jochen

ja, ne.
ziel der übung ist, dass die anfragen nicht vom webserver verarbeitet werden, sondern davor.

quasi eine art proxy, der nur "meinen string" überhaupt zum webserver kommen läßt.

ich dachte an eine socket verbindung, um an den string zu kommen.


greets, Nik

Hi,

ich weiß es ist nicht vielleicht ganz das was Du eigentlich im Sinn hattest. Aber wie wäre es mit einem einfachen "Rewrite" unter dem Motto, alles was nicht dem gefordertem entspricht bekommt eine Fehlermeldung.

Pingu

Original geschrieben von Pingu
Hi,

ich weiß es ist nicht vielleicht ganz das was Du eigentlich im Sinn hattest. Aber wie wäre es mit einem einfachen "Rewrite" unter dem Motto, alles was nicht dem gefordertem entspricht bekommt eine Fehlermeldung.

Pingu


hmmm - etwas genauer? wäre nett ;)

greets, Nik

Ich denke http://netfilter.org/documentation/HOWTO/de/netfilter-extensions-HOWTO-3.html#ss3.16 ist das Richtige für dich, eine IPTables-Extension. Es wird aber ausdrücklich davor gewarnt das Modul für den von dir beschrieben Zweck zu benutzen.

Thomas.

dann laß ich das mal besser ;)

also im web siehts auch ziemlich dünn aus - ich glaub das wird schwierig....

greets, Nik

Mit dem Modul ist es sehr einfach zu realisieren.
Solange du keine IDS verwendest sehe ich auch keinen Grund der gegen die Benutzung spricht.

Thomas.

da läuft leider (oder besser zum glück) nen snort.

greets, Nik

Im schlimmsten Fall erkennt dein IDS bei der Verwendung dieses IPT-Moduls einen Angriff nicht. Da du eben schon filterst bevor das IDS erkennen kann. Der Angriff wird dann zwar nicht erkannt, trotzdem aber abgeklockt.

Thomas.

hi flightbase,

was du suchst ist ein reverse proxy.
habe mal google befragt, und bei freshmeat was gefunden:
http://freshmeat.net/projects/pound/?topic_id=151,250,43

"Protection: I assume Pound will be the only component exposed to the Internet
- your back-end servers will run in a protected network behind it.
This means that Pound should filter requests and make sure only valid, correctly
formed ones are passed to the back-end servers, thus protecting them from malicious
clients"

könnte doch was sein?!?

/g0dzilla

Original geschrieben von Flightbase
hmmm - etwas genauer? wäre nett ;)

Ich meinte Du paßt die httpd.conf oder lokal die .htaccess an, so dass nur noch erlaubte Anfragen zugelassen werden, z.B.:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} !^GET$ [OR]
RewriteCond %{QUERY_STRING} !meinrequest=1
RewriteRule * - [F]

Dann bekommt jeder andere als der erlaubte Zugriff ein "Forbidden Access".

Man könnte anstatt
RewriteRule * - [F]auch ein
RewriteRule * - [G]schreiben, dann bekommt der Client ein "Page is gone" Fehler zurück.
Oder man könnte eine selbst gestaltete Page zurück liefern mit
RewriteRule * /blocked.htmlEtwas komplizierter wird es, wenn in dieser Seite auch Referenzen zu Bildern oder zu CSS enthalten sein sollen.

Aber wie gesagt, ich weiß nicht, ob dies wirklich das ist was Du wolltest. Da hier die Arbeit wieder der Apache macht.

Pingu

Warum nimmst du nicht Squid als reversen Proxy und filterst mit
URL Regexp und/ oder URL Path Regexp.

Das sollte eigentlich funktionieren.