Hallo,
Eine Frage an alle Apache-Config-Profis: Kann ich einen Apachen so konfigurieren, dass er nur auf Anfragen aus seinem eigenen Class-C Netz reagiert. Soll heissen, nur die IP-Adressen

xxx.yyy.zzz.0 bis xxx.yyy.zzz.255

sollen etwas von dem Server mitbekommen. Auf alle anderen Anfragen soll er nicht einmal antworten damit man ihn nicht von aussen sehen/hacken kann! Nur auf dem LAN oder intern lauschen lassen geht leider nicht, da dass Netz offen ist! Für eine kleine Hilfestellung wäre ich sehr dankbar,

Michl.

<Directory /var/www>
order deny,allow
deny from all
allow from 192.168.1.0
</Directory>

Bekommst aber als Antwort ein Access Denied.

mit ner Firewallregel alle Anfragen von einer IP die nciht aus dem priveten Bereich kommt verbieten

> iptables -A INPUT -p tcp --dport 80 -s ! xxx.yyy.zzz.0/24 -j REJECT

so z.B

Nur auf dem LAN oder intern lauschen lassen geht leider nicht, da dass Netz offen ist! Für eine kleine Hilfestellung wäre ich sehr dankbar,


Klingt reichlich unlogisch. Wenn er net auf Anfragen von außen hören soll, dann braucht er doch auch net auf das externe Interface lauschen.
Was bedeutet "offen"? Im Zusammenhang gesehen würde das bedeuten, daß auch Clients mit IP-Adressen aus dem internen Bereich über das externe Interface kommen -> stell das ab!

cu/2 iae

Was bedeutet "offen"?

Es handelt sich um das Sub-Netz eines Instituts der Uni. Die Rechner hängen über das Rechenzentrum alle mehr oder weniger direkt am Internet. Wie das genau aussieht weis ich ehrlich gesagt nicht, es hängt jedenfalls kein Router o.ä. dazwischen. Sie haben alle nur EIN Netzwerk-Interface! Folglich lauscht ein Apache auf ALLE verbindungen, egal ob die Anfrage aus dem Hauseigenen Netz kommt, oder aus Neuseeland...

Bei Kraut und Rüben auf dem Rasen hilft nur "Laßt Hasen grasen!"

Hm, dann bleibt Dir nur der Directory-Tag oder iptables.

<murmel> sehr merkwürdig </murmel>

cu/2 iae

Ja, ich hab mir diese Vernetzwerkung nicht ausgedacht. Aber sie macht die Rechner natürlich potentiell angreifbar...

pfft, dann hast Du auch nur eine Hürde mehr. Dann hackt halt einer eine der offenen anderen Clients und Du hast das selbe Problem. Mach lieber Deinen Apache-Rechner mit iptables sicher.

Original geschrieben von Doh!
pfft, dann hast Du auch nur eine Hürde mehr. Dann hackt halt einer eine der offenen anderen Clients und Du hast das selbe Problem. Mach lieber Deinen Apache-Rechner mit iptables sicher.

Den versteh ich jetzt net ganz?
Er soll mit iptables gegen "rest-der-Welt" absichern, damit, falls jemand einen der Clients im entsprechenden Subnet "kapert" net auf den WebServer kommen sollen?

Klingt das nur für mich unlogisch?

cu/2 iae

Original geschrieben von mbo
Den versteh ich jetzt net ganz?
Er soll mit iptables gegen "rest-der-Welt" absichern, damit, falls jemand einen der Clients im entsprechenden Subnet "kapert" net auf den WebServer kommen sollen?

Klingt das nur für mich unlogisch?

cu/2 iae

nein er soll die Kiste gegen ALLE (auch intern) absichern und nur http freigeben, den apache entsprechend sichern und gut is.