CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede rasmuzzen Nybegynder
23. marts 2007 - 17:10 Der er 9 kommentarer og
1 løsning

iptables og apache på samme maskine.

Jeg har en firewall med 4 netkort i. Kører FC6 og iptables.
Jeg har nogle "banditter" siddene på 2 af netkortene. På disse 2 netkort skal jeg gerne måle trafik. Det virker allerede.
MRTG står og måler 24 timer i døgnet, der dannes kurver :o).
På maskinen er der sat en apache op til at lytte på port 81.

Dette kører fint indtil jeg starter iptables. Så lukkes trafikken på kortet der vender ud mod internettet.

Jeg kan godt på selve maskinen skrive http://localhost:81 og så få fat i apachen, når iptables kører. Men jeg har svært ved at forestille mig hvilken regel jeg skal sætte på, for at jeg kan se denne apache deamon ude fra internettet.

Det unikke her er at begge dele kører på samme maskine.

Jeg vil helst beholde MRTG i en linux verde, så derfor skal den ikke bare "trille" på firmaets webserver der står i DMZ.

Det er sikkert nemt hvis man lige ved hvilken regel jeg skal fodre ind imellem de 100 andre regler.

MVH
Avatar billede langbein Nybegynder
23. marts 2007 - 21:02 #1
Det er neppe særlig kopmlissert å sette opp en regel som slipper inn tcp port 81. Denne cil jo være å plassere i input chain.

Hva med å poste resten av reglene slik at det går ann å bedømme hvor den regelen som skal slippe inn tcp port 81 passer inn. (Det er jo snakk om en "rule stack" eller en "stabel" med regler som skal virke sammen. Som prinsipp så kan ingen regel virke allene uavhengig av de andre (selv om det dog allikevell er mulig å sette en inn en regel på topp i stacken som får prioritet forran de øvrige regler.)
Avatar billede langbein Nybegynder
23. marts 2007 - 21:05 #2
Som dirty trick så kan vel kanskje denne fungere:

"iptables -I INPUT -p tcp --dport 81 -j ACCEPT"

Det plasserer en regel på topp i stacken, men det beste er nok å se problemstillingene for hele firewall under ett.
Avatar billede langbein Nybegynder
23. marts 2007 - 21:06 #3
Den vil (bør) gi samtlige pc tilgang til tcp port 81 uavhengig av hvilket kort de er koplet opp mot.
Avatar billede rasmuzzen Nybegynder
27. marts 2007 - 12:22 #4
Virkede næsten.

Med interface angivelse på virkede det, men kun udefra.

Så det er stadig ikke godt.

Hvis jeg skal browse serveren på selve firewallen virker hverken
http://localhost:81 eller http://<ipaddr>:81

Jeg har sammen problem mht. udp port snmp 161, Der skal måles på de 3 kort med mrtg, men selve firewallen kan ikke få adgang til sine egne netkort.

Hvad søren skal man bruge for en regel eller en modprobe for at den kan accesse sig selv ?.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:29 #5
Det blir en litt annen problemstilling, men ikke mye annerledes.
Det skulle gå bra å gi fri trafikk fra innefra til innefra:

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -p tcp --dport 81 -j ACCEPT

Det var egentlig litt merkelig fordi mange firewalls har -i lo - ACCEPT som default.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:34 #6
"-i lo" står for eller spesifiserer input local, altså "iptables -I INPUT -i lo -j ACCEPT" = gi full åpning for all lokal trafikk.
Avatar billede langbein Nybegynder
27. marts 2007 - 15:39 #7
Egentlig så er dette ikke helt bra sikkerhetsmessgi fordi du kan bypasse en hel del andre regler som kanskje har en funksjon. Dersom dette fungerer så plasseres de nye reglene på bunnen i rulestacken i stedet for på topp. Dette vil i så fall være sikkrere, forutsatt at det fungerer:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT

(-I som står for incert, så vidt jeg husker, som plasserer på topp.)
(-A som står for append, så vidt jeg husker, som plasserer reglene på bunnen.)

Fordelen med å plassere på bunnen er at du da ikke bypasser eventuelle eksisterende regler for for eksempel dos attach prevention og packet spoofing.
Avatar billede langbein Nybegynder
27. marts 2007 - 23:27 #8
Virker det ?
Avatar billede rasmuzzen Nybegynder
03. april 2007 - 15:36 #9
Det var egentlig ikke problemer med reglerne kan jeg se nu, det var toppen der blokerede, sammen med dine regler spillede det.

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Den øverste blev ændret fra en DROP til en ACCEPT.

Håber ikke dette åbnede for mere. En test viste ihvertfald at der var blokeret hvis ikke der var en regel på tcp 81, så jeg mener ikke jeg har lavet et "plørehul" ud i verdenen.

MVH
Avatar billede langbein Nybegynder
04. april 2007 - 01:37 #10
iptables -P INPUT ACCEPT

"Den øverste blev ændret fra en DROP til en ACCEPT."

Selv om policy regelen står øverst i et script så virker den til sist i en rulestack.

Dette betyr at den siste regel, default regel når ingen andre regler gjelder er satt til ACCEPT.

"så jeg mener ikke jeg har lavet et "plørehul" ud i verdenen."

Jo, normalt så skulle akkurat dette skje. Firewall står i utgangspunktet fullt åpen med unntak av spesifikke regler som lukker for porter. (Det motsatte er det mere vanlige, policy settes til DROP og ut i fra dette som "grunnregel" så åner man en og en port.)

Det er nok en rissiko for at sikkerheten ikke blir videre god med input policy til accetpt.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 17:06 Sort skærm Af luffe1955 i Windows
I dag 15:18 WM-bus Minomess Single Jet vandmåler Brunata/Zenner Af kulawig i Andet hardware
I dag 14:23 Navn i stifinder til ny bruger: C:\Users\defaultuser100000 Af Jørgen Kirkegaard i Windows
I dag 11:44 Sti og filnavn i sidefod Af boro23 i Word
I dag 11:02 Zyxel Multy U netværk Af jcr18 i Wifi
White papers
Flere white papers »


Premium
Teaser billede
Netcompany udsat for endnu et datalæk
Læs mere »
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Norlys-kunder har store problemer efter sammenlægning af it-systemer: Internet, tv og telefoni crasher i lange baner
Meldes til politiet for grove GDPR-brud og elendig sikkerhed: Mere end 1.000 tidligere ansatte har haft fri adgang til centralt KMD-system
Se alle »
Computerworld
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Et ”mareridt for privatlivets fred”: Kontroversiel Windows-funktion er udkommet i en test-version
Se alle »
CIO
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Twoday er rykket til et af de dyreste postnumre i Danmark – og det kan betale sig, siger topchef Lars Berthelsen
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Managed Detection & Response: Forsvar din virksomhed mod cybertrusler døgnet rundt
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Sikkerhed uden grænser: Cisco Hypershield
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »