IP Cop - DMZ einrichten |
||
---|---|---|
#0
| ||
15.05.2003, 09:33
Member
Themenstarter Beiträge: 20 |
||
|
||
15.05.2003, 10:04
Member
Beiträge: 907 |
#17
hi
also, dass er aus ner http ne https macht, liegt evtl. an ner falschen weiterleitung seitens des routers (redirect port 80 -> port 443) oder an dem webserver selbst (httpd.conf) siehst du im apache log zugriffe von aussen, ob da überhaupt was rein kommt? kannst du mal nen sniffer laufen lassen (aufm router)? besteht die möglichkeit, dass du die FW rules mal pastest? das man vom WAN die http des IPCop sieht, liegt evtl an external service access? kenne wie gesagt IPCop net, und vermute, dass er hier zugriff vom WAN auf den router freischaltet kannst du die routen pasten? gibts net ne shell in IPCop? greez |
|
|
||
15.05.2003, 21:13
Member
Themenstarter Beiträge: 20 |
#18
also mit dir kriege ich das baby sicher noch korrekt zum laufen
so, also zu deinen fragen: >> ... falschen weiterleitung seitens des routers habe hier bei portforwarding von 80 nach 80 geroutet und die external blabla auch auf 80 gestellt. >> ... oder an dem webserver selbst (httpd.conf) ne httpd.conf hast du unter md9.1 nicht mehr in dieser form. hier heisst das teil httpd2.conf. hängt es dort evtl mit der einstellung BindAdress zusammen ? da gibt es die zeilen: <IfDefine APACHEPROXIED> Listen 8080 </IfDefine> <IfDefine !APACHEPROXIED> Listen 80 </IfDefine> (proxy ist aber aus) >> ... im apache log zugriffe von aussen also in den logs unter httpd sind nur interne zugriffe >> ... sniffer laufen lassen ??? wie mach ich das ? >> ... dass du die FW rules mal pastest "FW rules" -> wie meinen ??? >> ... vom WAN die http des IPCop sieht ... ist wohl standartmäßig so, da ich da nix umgestellt habe, gefällt mir nur so nicht so richtig >> ... routen pasten? welche routen meinst du ? die weiterleitungen der ports ? >> ... shell in IPCop? also es gibt die möglichkeit über ssl auf den router zu kommen. musst du aber freigeben, da ja damit die sicherheit herabgesetzt wird. ps: welcher port wird für https verwendet, damit ichs in der conf eventuell finde ? grz & thx |
|
|
||
15.05.2003, 21:48
Member
Beiträge: 907 |
#19
hi
mensch, mega ausführlich - perfekt portforwarding müsste so ausschaun: leite alles, was auf dynIP des routers und port80 ankommt (WAN-Interface) nach <ip-webserver>:80 kann natürlich sein, dass die FW rules so hart sind, dass sie die pakete schon vor dem forwarding verwerfen, denn im apache log taucht ja nix von externen ip´s auf bind-adress=die adresse, an der der apache lauschen soll normalfall 0.0.0.0 sniffer (wie tcpdump, ethereal) kannst mal auf dem router laufen lassen (falls sowas drauf ist bzw. zu installieren geht) der logt dann alle pakete mit und man sieht, wo was wo hin geht, oder halt nicht hingeht FW-Rules = firewall rules des ipcop rechners bzgl. shell: du meinst sicher ssh oder? oder meinst http over ssl? zu ersterem: warum soll das die sicherheit massgeblich drücken? weißt du wieviele server ssh nutzen zur administration? wenn aktuelle version und ordentliche konfig, dann brauchst in der regel keine angst zu haben - natürlich bietet jeder offene port angriffsmöglichkeiten der sshd muss ja net auf dem WAN-interface lauschen (s. bind adress) greez |
|
|
||
16.05.2003, 09:57
Member
Themenstarter Beiträge: 20 |
#20
also wieder ausführlich :
>> ...port80 ankommt (WAN-Interface) nach <ip-webserver>:80 hatte ich bereits bind-adress=die adresse, an der der apache lauschen soll normalfall 0.0.0.0 >> ... (falls sowas drauf ist bzw. zu installieren geht) geht nicht. ipcop ist ne spezielle routersoftware die nur alle wichtigen sachen drin hat und kaum was zusätzlich draufläßt. ich wollte wenigstens mal den mc installieren, da ich da ne bessere übersicht habe und selbst der geht nicht drauf >> ... FW-Rules = firewall rules des ipcop rechners sagt mir trotzdem nicht viel. sorry >> ... du meinst sicher ssh oder? jap >> ... warum soll das die sicherheit massgeblich drücken? wird in den manuals ausdrücklich empfohlen, ssh sofort nach gebrauch wieder zu deaktivieren. wo kein ssh läuft kann auch niemand ssh missbrauchen habe gestern mit nem bekannten nochmal den router gecheckt. er war per ssh mal drauf und hat sich umgesehen. konnte aber auch nix finden, wo was falsch wäre. ich habe den webserver heute erstmal wieder ins grüne netz gestellt und lokal kann ich jetzt wieder alle dienste nutzen. aus http wird jetzt auch nicht mehr https gemacht. liegt also doch irgentwie am router das es mit der dmz nicht klappt. obwohl er beruflich mit administration zu tun hat konnte er nichts finden was ich evtl. falsch eingestellt habe. werde jetzt also erstmal vorangig schauen, das ich den wa(h)n-zugriff noch hinbekomme und der server somit erstmal wieder für meine bekannten abrufbar ist. hatte mir jetzt auch nochmal das installationshandbuch gezogen und durchgearbeitet. da steht aber auch nichts weiter drinnen |
|
|
||
16.05.2003, 11:37
Member
Beiträge: 907 |
#21
ab 1.3 arbeitet IPCop mit iptables
wenn dein kumpel per ssh drauf war, hatte er ja ne shell konnte er da nicht iptables/ipchains aufrufen? firewall rules meine ich die paketfilter-regeln, die IPCop nach deinem ermessen anlegt da muss es doch ne übersicht geben?!?!?!!? kannst ja mal folgendes machen: IPCop vom WAN nehmen FW deaktivieren (alles ACCEPT) Webserver wieder in DMZ mal sehen, was er da macht dann lass halt mal auf dem webserver nen sniffer laufen, wenn du auf dem IPCop nix installen kannst... greez |
|
|
||
16.05.2003, 19:52
Member
Themenstarter Beiträge: 20 |
#22
>> ...ab 1.3 ... iptables
ich habe hier 1.2er version >> ... konnte er da nicht iptables/ipchains ... hat mit der shell doch niemand bestritten. die 1.2er benutzt ipchains, aber wo finde ich das zugehörige file um mal nachzusehen ? >> ... paketfilter-regeln, ... ne übersicht geben?!?!?!? nein, is nix was ich als solches erkennen könnte drauf >> ...FW deaktivieren (alles ACCEPT) ipcop ist ne firewall und diese läßt sich net deaktivieren. zumindest nicht so einfach auf dem direkten weg. >> ...Webserver wieder in DMZ Also mit der DMZ warte ich jetzt mal bis pfingsten, da ist mein bekannter hier in der city und will mal schauen. ich lasse den server vorerst in der grünen zone, da ja hier soweit alles zu gehen scheint. werde die nächsten tage aber mal noch ne andere alte kiste als testrechner in die dmz stellen und dann ein bischen experimentieren >> ...auf dem webserver nen sniffer laufen, ... mache ich dann mit dem testrechner gtz |
|
|
||
17.05.2003, 21:40
Member
Beiträge: 907 |
#23
>>nein, is nix was ich als solches erkennen könnte drauf
ich denke es ist ipchains drauf? dann ab in die konsole und ipchains -L >>ipcop ist ne firewall und diese läßt sich net deaktivieren. zumindest nicht so einfach auf >>dem direkten weg. ach ne, deswegen heißt es wahrscheinlich auch Cop ich hab ja dazu geschrieben: alles auf ACCEPT greez |
|
|
||
Lokal geht nun alles auch korrekt, nur aus dem wan habe ich noch n paar kleine probs:
webserver ist nur lokal erreichbar und lokal macht der browser aus ner http-anfrage autom. https. wo muss ich da was umstellen ? startseite wird aber lokal angezeigt
aus dem wan ist kein zugriff möglich (außer per port 81 auf ipcop), obwohl ich weiterleitungen für die ports 80 und 21 eingerichtet habe und auch external service access dies erlaubt. kann ich das hier nur intern nicht testen oder ist da auch noch ne route verbogen ? und btw: wieso kann ich die startseite von ipcop aus dem internet heraus sehen ? dies gefällt mir überhaupt nicht, auch wenn der zugriff darauf dann mit einer passwortanfrage verbunden ist
danke nochmal für deine geduld und mühe mit mir
magndreams