PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Internen Webserver von aussen erreichen ?



visionmaster
06.04.05, 21:21
Hallo zusammen,

Ich habe zu diesem Thema einige Beiträge gelesen und verstehe dennoch leider nicht ganz wie ich folgendes hinbekomme:

Ich möchte von aussen, z.B. von zu Hause aus von meinen Windows Rechner aus auf einen Webserver zugreifen. Dieser Webserver steht in einem internen Netzwerk hinter einem Suse Linux Rechner der als Firewall dient. Des weiteren haben wir eine feste IP, d.h. die Ermittlung der IP-Adresse mit Hilfe eines Tools kann ich mir sparen.

Mit meinem putty-Client bekomme ich per ssh Zugriff auf die Firewall, d.h der ssh-Dienst läuft. Kann ich dann von dieser Stelle aus auf den Webserver zugreifen? Gebe ich ssh 192.168.1.5 ein, so kommt die Fehlermeldung "Permission denied".

Nun möchte ich eben von aussen auf den Webserver zugreifen können. Nicht nur über ssh, sondern auf den Webserver über ein Browser von aussen (natürlich passwortgeschützt) zugreifen können, Daten hochladen können, auf die MySQL-Datenbank per Konsole oder phpMyAdmin zugreifen, usw. Einfach alles, was ich sonst auch von einem internen Rechner machen kann.

Besten Dank!

Elvizz
06.04.05, 21:32
Portforwarding heißt das Zauberwort.
Um von außen auf den Webserver zugreifen zu dürfen, muss die Firewall den Port 80 und ggf. Port 443 (für verschlüsselte Verbindungen) weiterleiten, so dass wenn jemand versucht auf <externe IP>:80 zuzugreifen, die Firewall dies auf <interne IP des Webservers>:80 weiterleitet.

Grüße,
Elvizz

visionmaster
06.04.05, 21:52
Hallo Elvizz,

Danke für die schnelle Antwort! Port 443 für SSL oder was genau meinst Du mit verschlüsselten Verbindungen?

Eben an dieser Stelle scheitere ich schon, wie richte ich das Portforwarding auf meiner Firewall ein? Und das stört in keinster Weise den "normalen" Internetzugriff nach aussen?

Welche Gefahren bestehen, wenn ein "böser User" über <externe IP>:80 Zugriff auf den Webserver kommt und dann noch das Kennwort knackt. Hat dieser dann "Narrenfreiheit" und kann dann auf alle anderen Rechner im internen Netzwerk zugreifen? Was muss man beachten? Wie schotte ich das am besten und sicheresten ab?

Danke!

Elvizz
06.04.05, 22:27
Hallo Elvizz,

Danke für die schnelle Antwort! Port 443 für SSL oder was genau meinst Du mit verschlüsselten Verbindungen?
Ja, genau das meinte ich.

Eben an dieser Stelle scheitere ich schon, wie richte ich das Portforwarding auf meiner Firewall ein? Und das stört in keinster Weise den "normalen" Internetzugriff nach aussen?
Wie du es einrichtest? Hmmm... wie hast du denn die Firewall-Regeln konfiguriert? Mit dem fwbuilder, YaST oder von Hand? Erste beiden haben Optionen Ports weiterzuleiten und sonst hilft die man-Page weiter ;) Ich weiß es jedenfalls auch nicht...

Welche Gefahren bestehen, wenn ein "böser User" über <externe IP>:80 Zugriff auf den Webserver kommt und dann noch das Kennwort knackt. Hat dieser dann "Narrenfreiheit" und kann dann auf alle anderen Rechner im internen Netzwerk zugreifen? Was muss man beachten? Wie schotte ich das am besten und sicheresten ab?
Wenn jemand Zugriff auf den Server erhält, kann er alle Webseiten sehen, die er findet... ob das jetzt gefährlich ist oder nicht hängt halt davon ab, was so drauf ist und wie das noch geschützt ist. Er hat aber prinzipiell erstmal nur Zugriff auf den Webserver selbst, es sei denn der Webserverprozess (etwas anderes als der PC an sich) hat eine Sicherheitslücke.

Was meisnt du genau mit "Kennwortschutz"?

Grüße,
Elvizz

rkauskh
06.04.05, 23:39
Hi

Gegenfrage: Warum mußt du diese Dienste von außen nutzen?
Wenn es sich um einen Firmenserver oder ähnliche Produktivumgebungen handelt, kann ich bei deinem Wissensstand nur davon abraten.
1. Du lädst Dateien hoch, mit welchen Rechten agierst du auf dem Server? Könnte dein Account Dateien ausführbar machen und starten? Ist es ein abgetrenntes Verzeichnis oder schreibst du in allen Verzeichnissen herum?
2. Du arbeitest mit einer Datenbank die u.U. sensible Firmendaten enthält. Du kannst sie sehen, ändern, löschen und dank phpMyAdmin ganze Tabellen/Datenbanken erstellen/droppen.
3. Alles was du intern machen kannst darfst du auch vom Internet aus. Was auch immer "alles" heißt.

Und jetzt setz mal statt "Du" einfach "ein böser User der deine Zugangsdaten in die Finger bekommen hat" ein. Merkste was? ;)

Ich könnte mir das Ganze per VPN-Tunnel vorstellen, aber wenn es schon an portforwarding und .htaccess scheitert....
Ich hab auch diese Gelüste gehabt, da ich häufiger zu Hause arbeite und immer die Hälfte vergesse mitzunehmen. Aber:
Ich hab nicht genug Ahnung die Verbindung wirklich sicher herzustellen.
Und die Daten (teilw. Prototypenentwicklung) sind zu empfindlich, um sie so leichtfertig "unters Volk" zu werfen.

MfG
rk