Archiv verlassen und diese Seite im Standarddesign anzeigen : Ports nur für bestimmte Rechner offen!
Hi,
ich hab einen Router mit Iptables aufgebaut. Auf dem Rechner läuft, aber noch ein Webserver.
Nun meine Frage wie Blocke ich direkte Anfragen von außen an den Router.
Er aber die Seiten weiterleitet die ich vorher angefordert habe.
Trotzdem sollte ich vom Netzwerk auf den Webserver(auf dem Router)zugreifen können.
Ich hoffe ihr versteht das und könnt mir helfen!
Danke im Voraus
Berufspenner
11.06.02, 12:02
Hi@all
@mpphp
Die Aussage, dass man das alles mit iptables machen kann reicht an dieser Stelle wohl nicht ganz aus. Hier wurde wohl eher nach der Erklärung gesucht.
Es scheint nicht ganz klar zu sein was ich gern möchte.
Ich habs mal mit einem Bild versucht, dies soll das etwas verdeutlichen.
Ich hab mir mal überlegt wenn ich den Port 80 sperre kann man zwar von draußen keiner auf den Webserver zugreifen, aber dann würde ja kein Masquering mehr gehen.
Da muss es doch was geben um das Problem zu lösen
Hoffe die Erklärung hilft ein bißchen.
Weihnachtsmann
13.06.02, 12:10
irgendwie ist dein Bild nicht komplett !! Ich seh nur die obere Hälfte
Thomas Mitzkat
13.06.02, 12:30
j="ppp0"
mann kann schon einiges tun. zum beispiel herkunfts und zielport, herkunfts-gerät und ziel-netz, sowie von wem die verbindung aufgebaut werden darf, angeben. aber es ist schon richtig: man iptrables
${IPTABLES} -A OUTPUT -j ACCEPT -o ${j} -p tcp \
--sport 1024: --dport ftp -m state --state \
NEW,ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -o ${j} -p tcp \
--sport 1024: -s $LOCAL --dport ftp -m state --state \
NEW,ESTABLISHED,RELATED
${IPTABLES} -A INPUT -j ACCEPT -i ${j} -p tcp \
--dport 1024: --sport ftp -m state --state ESTABLISHED,RELATED
${IPTABLES} -A FORWARD -j ACCEPT -i ${j} -p tcp \
--dport 1024: -d $LOCAL --sport ftp -m state --state \
ESTABLISHED,RELATED
Um zu verhindern daß der Webserver(ich vermute Apache) von aussen angesprochen wird, einfach den Apache nur an der Internen IP lauschen lassen. So können die Clients im Internen Netzwerk zugreifen, aber ein Zugriff von aussen ist nicht möglich.
Zusätzlich kann man natürlich auch den betreffenden Port gegen eingehende, nicht angeforderte Verbindungen sperren.
Sch**** da is irgendwas schief gegangen
Habs jetzt nochmal upgeloadet
@spacecab
wie geht das mit sperren des bereffenden Ports gegen eingehende, nicht angeforderte Verbindungen?
wie geht das mit sperren des bereffenden Ports gegen eingehende, nicht angeforderte Verbindungen?
Ähm, das hat Thomas oben doch schon gepostet... :rolleyes:
Hier aber nochmal ein Beispiel:
---
iptables -A INPUT -p tcp -i ppp0 --dport 80 -m state --state ESTABLISHED -j ACCEPT // akzeptiert eingehende Pakete einer bestehenden Verbindung auf Port 80
iptables -A INPUT -p tcp -i ppp0 --dport 80 -j DROP // verwirft alle weiteren eingehenden Pakete auf Port 80
---
"ppp0" ist das WORLD_DEV bei mir(T-DSL), falls du eine andere Verbindung verwendest solltest du das dementsprechend abändern.
Danke spacecab
Danke aber auch an alle anderen
@spacecab kam für mich als iptables-newbie nicht so raus, dass das schon oben stand
Bin ganz schön überrascht was iptables so kann :eek:
Werd mich dann mal um ein gutes Regelwerk kümmern
Bin ganz schön überrascht was iptables so kann
iptables kann noch viel mehr, meine komplette Firewall hab ich damit am laufen...aber den Kaffee kriege ich damit nochnicht gebrüht...ich arbeite dran... :D
Berufspenner
16.06.02, 14:32
Hi
@spacecab
Magst du mal die Regeln deiner iptables Firewall posten. Möchte nämlich auch eine aufsetzen. Weiss aber nicht wie. Es soll das lokale Netz ins I-Net kommen und die dienste die auf dem Gateway/Server laufen sollen ja auch erreichbar sein.
Wenn du mir da ein wenig helfen könntest wäre es echt super.
Naja, meine Firewallregeln hier zu posten ist nun nicht wirklich sinnvoll :rolleyes:
Ich bin aber gerade dabei ein kleines Howto zum Thema "iptables" zu schreiben, welches ich hier veröffentlichen werde. Bis dahin kann ich dir nur die folgende Seite empfehlen.
http://www.pl-berichte.de/t_netzwerk/iptables.html
Hi Berufspenner,
gib mir mal Deine e-mail-Adresse, dann kannste mein iptables-Skript kriegen.
Cu Naleau
naleau@gmx.de
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.