CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede rasmuzzen Nybegynder
23. marts 2007 - 17:10 Der er 9 kommentarer og
1 løsning

iptables og apache på samme maskine.

Jeg har en firewall med 4 netkort i. Kører FC6 og iptables.
Jeg har nogle "banditter" siddene på 2 af netkortene. På disse 2 netkort skal jeg gerne måle trafik. Det virker allerede.
MRTG står og måler 24 timer i døgnet, der dannes kurver :o).
På maskinen er der sat en apache op til at lytte på port 81.

Dette kører fint indtil jeg starter iptables. Så lukkes trafikken på kortet der vender ud mod internettet.

Jeg kan godt på selve maskinen skrive http://localhost:81 og så få fat i apachen, når iptables kører. Men jeg har svært ved at forestille mig hvilken regel jeg skal sætte på, for at jeg kan se denne apache deamon ude fra internettet.

Det unikke her er at begge dele kører på samme maskine.

Jeg vil helst beholde MRTG i en linux verde, så derfor skal den ikke bare "trille" på firmaets webserver der står i DMZ.

Det er sikkert nemt hvis man lige ved hvilken regel jeg skal fodre ind imellem de 100 andre regler.

MVH
Avatar billede langbein Nybegynder
23. marts 2007 - 21:02 #1
Det er neppe særlig kopmlissert å sette opp en regel som slipper inn tcp port 81. Denne cil jo være å plassere i input chain.

Hva med å poste resten av reglene slik at det går ann å bedømme hvor den regelen som skal slippe inn tcp port 81 passer inn. (Det er jo snakk om en "rule stack" eller en "stabel" med regler som skal virke sammen. Som prinsipp så kan ingen regel virke allene uavhengig av de andre (selv om det dog allikevell er mulig å sette en inn en regel på topp i stacken som får prioritet forran de øvrige regler.)
Avatar billede langbein Nybegynder
23. marts 2007 - 21:05 #2
Som dirty trick så kan vel kanskje denne fungere:

"iptables -I INPUT -p tcp --dport 81 -j ACCEPT"

Det plasserer en regel på topp i stacken, men det beste er nok å se problemstillingene for hele firewall under ett.
Avatar billede langbein Nybegynder
23. marts 2007 - 21:06 #3
Den vil (bør) gi samtlige pc tilgang til tcp port 81 uavhengig av hvilket kort de er koplet opp mot.
Avatar billede rasmuzzen Nybegynder
27. marts 2007 - 12:22 #4
Virkede næsten.

Med interface angivelse på virkede det, men kun udefra.

Så det er stadig ikke godt.

Hvis jeg skal browse serveren på selve firewallen virker hverken
http://localhost:81 eller http://<ipaddr>:81

Jeg har sammen problem mht. udp port snmp 161, Der skal måles på de 3 kort med mrtg, men selve firewallen kan ikke få adgang til sine egne netkort.

Hvad søren skal man bruge for en regel eller en modprobe for at den kan accesse sig selv ?.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:29 #5
Det blir en litt annen problemstilling, men ikke mye annerledes.
Det skulle gå bra å gi fri trafikk fra innefra til innefra:

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT

Det var egentlig litt merkelig fordi mange firewalls har -i lo - ACCEPT som default.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:34 #6
"-i lo" står for eller spesifiserer input local, altså "iptables -I INPUT -i lo -j ACCEPT" = gi full åpning for all lokal trafikk.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:39 #7
Egentlig så er dette ikke helt bra sikkerhetsmessgi fordi du kan bypasse en hel del andre regler som kanskje har en funksjon. Dersom dette fungerer så plasseres de nye reglene på bunnen i rulestacken i stedet for på topp. Dette vil i så fall være sikkrere, forutsatt at det fungerer:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT

(-I som står for incert, så vidt jeg husker, som plasserer på topp.)
(-A som står for append, så vidt jeg husker, som plasserer reglene på bunnen.)

Fordelen med å plassere på bunnen er at du da ikke bypasser eventuelle eksisterende regler for for eksempel dos attach prevention og packet spoofing.
Avatar billede langbein Nybegynder
27. marts 2007 - 23:27 #8
Virker det ?
Avatar billede rasmuzzen Nybegynder
03. april 2007 - 15:36 #9
Det var egentlig ikke problemer med reglerne kan jeg se nu, det var toppen der blokerede, sammen med dine regler spillede det.

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Den øverste blev ændret fra en DROP til en ACCEPT.

Håber ikke dette åbnede for mere. En test viste ihvertfald at der var blokeret hvis ikke der var en regel på tcp 81, så jeg mener ikke jeg har lavet et "plørehul" ud i verdenen.

MVH
Avatar billede langbein Nybegynder
04. april 2007 - 01:37 #10
iptables -P INPUT ACCEPT

"Den øverste blev ændret fra en DROP til en ACCEPT."

Selv om policy regelen står øverst i et script så virker den til sist i en rulestack.

Dette betyr at den siste regel, default regel når ingen andre regler gjelder er satt til ACCEPT.

"så jeg mener ikke jeg har lavet et "plørehul" ud i verdenen."

Jo, normalt så skulle akkurat dette skje. Firewall står i utgangspunktet fullt åpen med unntak av spesifikke regler som lukker for porter. (Det motsatte er det mere vanlige, policy settes til DROP og ut i fra dette som "grunnregel" så åner man en og en port.)

Det er nok en rissiko for at sikkerheten ikke blir videre god med input policy til accetpt.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 00:51 LibreOffice blokeres ved start Af Nobbernitte i Office & Kontorpakker
I går 12:26 4 GB Ram er blevet væk Af Marianne Tidemann i PC
I går 12:24 strømforsyning Af Shamanji i Andet software
24/0720:17 vlc viser kegle-icon Af casablanca i Andet software
24/0714:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Overblik: Sådan forløb årets største databrud - mindst 165 organisationer ramt
Læs mere »
Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder
”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning
Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Sådan gør du: Elektronisk dokumentudveksling i praksis
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »