Archiv verlassen und diese Seite im Standarddesign anzeigen : webmin + iptables
Hallo Experten,
mit Iptables möchte ich vermeiden, dass aus dem Internet auf Webmin zugegriffen werden kann:
#Webmin
iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 10000 -j DROP
iptables -A OUTPUT -o eth1 -p tcp --sport 10000 -j DROP
Leider funktioniert das nicht. Ich komme immer über beide Netzwerkkarten drauf. eth0 geht ins LAN und eth1 geht ins Internet. Webmin läuft über https. Weiß jemand was ich falsch mache?
Danke
Du bist also direkt mittels Ethernet an deinen Provider angebunden? Andernfalls ist eth1 garantiert nicht das von dir gesuchte Device.
Webmin kann bestimmt so konfiguriert werden, dass deine Zeilen überflüssig sind.
moin;
das hängt auch davon ab, welche default-policies du gesetzt hast...
look @ iptables -L -v
sollten sie auf drop stehen, musst du eh alle gewünschten zugriffe explizit freigeben...soll heissen, das ziel wäre per default nicht erreichbar wenn du das nicht in einer anderen regel aus versehen ausser kraft gesetzt hast...(zum beipiel durch ne rgel, die uneingeschränkt ports >1023 freischaltet. diese inputports MÜSSEN erreichbar sein, um überhaupt komunizieren zu können..jedoch sollte das entweder über stateful inspection oder über eine überprüfung der flags erfolgen..
beispiele:
iptables -A INPUT -i <dein externes interface> -p tcp --dport 1023: --tcp-flags ACK -J ACCEPT
iptables -A INPUT -i <dein externes interface> -m state --state ESTABLISHED,RELATED -p tcp --dport 1023: -j ACCEPT
ich gehe in der nächsten regel davon aus, dass deine default-rules auf ACCEPT stehen.
iptables -a INPUT -i <dein externes interface> -p tcp --dport 10000 -j DROP
übrigens...denk daran...die reihenfolge der regeln spielt eine essentielle rolle..
wenn das nicht klappen sollte, schick mir mal das komplette ruleset an webmaster@it-secure-x.net, dann guck ich's mir mal an
@Jinto
klar...man kann festlegen, von welcher ip-adresse(range) aus webmin erreichbar sein soll...damit ist ein fremdzugriff ausgeschlossen...
ciao
tommy
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.