PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Iptables und http-Zugriff


FatalError78
20.04.05, 19:17
Hallo Leuts,

ich habe ein Problem! Ich habe einen Linux - Server aufgesetzt, der einen DSL - Router mit der IP: 192.168.0.1 über netzwerkarte eth0 und einen lokales Netz 192.168.1.0/24 über Netzwerkarte eth1 verbinden soll. Auf dem Server ist Samba (Swat greift auf Port 901 zu), CUPS, eine Druckerfreigabe (greift auf Port 631) und Squid (benutzt Port 80) sowie Apache installiert!

Nun will ich es mit iptables schaffen, alle Zugriffe auf das lokale Netz bis auf Port 80 zu blocken und von innen soll nur Dienst über den http Port weitergeleitet werden und die lokalen dienste wie Samba, Squid und Apache sollen nur benutzt werden können...

Hat irgendjemand nen ansatz oder ist das zu unklar ....

vielen Dank schon im vorraus....

P.S.: in der resolv.conf ist der Router als Nameserver eingetragen und auch bei eth1 als gateway falls es euch was hilft....
Terran Marine
20.04.05, 22:58
Hallo Leuts,

ich habe ein Problem! Ich habe einen Linux - Server aufgesetzt, der einen DSL - Router mit der IP: 192.168.0.1 über netzwerkarte eth0 und einen lokales Netz 192.168.1.0/24 über Netzwerkarte eth1 verbinden soll. Auf dem Server ist Samba (Swat greift auf Port 901 zu), CUPS, eine Druckerfreigabe (greift auf Port 631) und Squid (benutzt Port 80) sowie Apache installiert!

Nun will ich es mit iptables schaffen, alle Zugriffe auf das lokale Netz bis auf Port 80 zu blocken und von innen soll nur Dienst über den http Port weitergeleitet werden und die lokalen dienste wie Samba, Squid und Apache sollen nur benutzt werden können...


Nabend,
Da der DSL-Router der Terminierungspunkt ins Internet ist, gehen sämtliche Anfragen auf ihn, und nicht auf deinen lokalen Server, d.h. eine Filterung auf Ebene des Linuxservers ist nicht erforderlich.

Um den Port 80 des Servers, von aussen anzusprechen, musst du auf dem DSL-Router Portforwarding DNAT einstellen, die Konfiguration dafür ist je nach Router unterschiedlich, idr findet sich das unter NAT / Portforwarding

Der Zugriff aufs Internet für das interne LAN, dürfte sich über IP-Forwarding und eine kleine Routing Regel einstellen lassen, willst du nur bestimmte Ports rauslassen, brauchst du doch noch iptables.
Das habe ich aber selbst noch nicht so gemacht, deswegen kann ich dir keine Anleitung bieten.

Gibt aber bestimmt andere User, für die das kein Problem darstellt.

Grüße
Terran