| View previous topic :: View next topic |
| Author |
Message |
JimPanseHH
n00b
Joined: 20 May 2004
Posts: 26
|
 Posted: Tue Mar 22, 2005 10:28 pm Post subject: Probleme mit Zugriff auf Home-Server |
 |
|
Ich habe mir gerade auf einem alten Rechner ein Gentoo-System eingerichtet, das zum einen als Router, zum anderen als ftp- und Web-Server dienen soll.
Das Routing funktioniert wunderbar aber die Server (proftp und apache2) wollen irgendwie nicht so richtig.
Wenn ich in einen Browser die externe IP des Routers eingebe, dann ist es kein Problem, sowohl auf den Webserver, als auch auf den FTP-Server zuzugreifen. Wenn aber jemand von außerhalb versucht auf den Server zuzugreifen, ist dies nicht möglich.
Der FTP-Server verlangt (laut Aussage einiger meiner Freunde) ein Passwort, obwohl er eigentlich für anonymen Login konfiguriert wurde, der Apache-Server ist gar nicht erreichbar.
Zunächst hatte ich den Fehler in den Filterregeln von iptables vermutet, aber in diesen sind alle entsprechenden Ports freigegeben.
Ich weiß nicht genau, welche configs hier von Nutzen wären, also fragt einfach nach den Infos die ihr braucht...
_________________
Mac for Productivity
Palm for Mobility
Linux for Development
Windows for Solitaire |
|
| Back to top |
|
 |
moe
Veteran
Joined: 28 Mar 2003
Posts: 1289
Location: Potsdam / Germany
|
| Posted: Tue Mar 22, 2005 10:32 pm Post subject: Re: Probleme mit Zugriff auf Home-Server |
|
|
| JimPanseHH wrote: |
Wenn ich in einen Browser die externe IP des Routers eingebe, dann ist es kein Problem, sowohl auf den Webserver, als auch auf den FTP-Server zuzugreifen. Wenn aber jemand von außerhalb versucht auf den Server zuzugreifen, ist dies nicht möglich.
|
Wenn du das von innen tust, ist es dasselbe als würdest du die interne IP nehmen, dein Router kennt ja die externe Adresse und weiss dass er das nicht routen braucht..
Also wird vielleicht mit den iptables doch nicht alles stimmen..
Zum ftp-Problem: Welchen Server verwendest du denn?
Gruss Maurice |
|
| Back to top |
|
|
JimPanseHH
n00b
Joined: 20 May 2004
Posts: 26
|
| Posted: Wed Mar 23, 2005 10:46 pm Post subject: |
|
|
Danke für die Info... ich dachte, das geht LAN->Router->Internet->Router (hab dann allerdings auch mit nem "tracert" von nem Windowsclient im LAN aus festgestellt, dass dem nicht so ist.
Ich benutze proftp als FTP-Server.
Hier also meine iptables.conf
| Code: |
# Generated by iptables-save v1.2.11 on Tue Mar 22 15:42:20 2005
*nat
:PREROUTING ACCEPT [30266:1613454]
:POSTROUTING ACCEPT [2336:286958]
:OUTPUT ACCEPT [0:0]
...
ganz ganz viele portforwardings
...
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Mar 22 15:42:20 2005
# Generated by iptables-save v1.2.11 on Tue Mar 22 15:42:20 2005
*mangle
:PREROUTING ACCEPT [1374017:915661944]
:INPUT ACCEPT [672111:783754166]
:FORWARD ACCEPT [701842:131904778]
:OUTPUT ACCEPT [331062:40266772]
:POSTROUTING ACCEPT [1030917:172253113]
COMMIT
# Completed on Tue Mar 22 15:42:20 2005
# Generated by iptables-save v1.2.11 on Tue Mar 22 15:42:20 2005
*filter
:INPUT ACCEPT [90780:100067938]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [331062:40266772]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ! eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i ! eth1 -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -i ppp0 -j ACCEPT
COMMIT
# Completed on Tue Mar 22 15:42:20 2005
|
Gruß
Jim
_________________
Mac for Productivity
Palm for Mobility
Linux for Development
Windows for Solitaire |
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
| Posted: Thu Mar 24, 2005 12:04 pm Post subject: |
|
|
Das iptables-script ist schonmal grober Unfug.
| Code: | | -A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP |
Bedeutet: Verwerfe an allen Interfaces außer eth1 alle Pakete mit Zielports 0-1023
| Code: | | -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Bedeutet: Erlaube auf allen Interfaces einkommenende Verkehr auf Zielport 80
In dieser Kombination und Reihenfolge bedeutet das daß nur Pakete an Port 80 auf eth1 durchgelassen werden. Auf allen anderen Interfaces werden sie ja durch die erste Regel schon gedropt. Kein Wunder das der Webserver von außen (ppp0) nicht geht. Beim FTP wirds ähnlich sein. Und bedenke das FTP immer 2 Ports benötigt.
Setze doch zum Testen erstmal alle Regeln auf ACCEPT und schaue was passiert. Geht dann alles geht liegts an dem iptables-script. Läuft es dann immernoch nicht sind die Dienste falsch konfiguriert und lauschen evt. garnicht an ppp0. Kann mit netstat geprüft werden. |
|
| Back to top |
|
|
|
Deutsches Forum (German)
