| View previous topic :: View next topic |
| Author |
Message |
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
 Posted: Thu Feb 17, 2005 8:46 am Post subject: Web-Services reduzieren/verbieten (solved) |
 |
|
Hallo,
auf meinem Gentoo Server läuft als Web-Frontend My-Wiki, Web-Cyradm, Phpmyadmin und Squirrelmail. Ale Verzeichnisse liegen auf dem Server unter /var/www/localhost/htdocs/ - Ich nutze Apache 2.x
Ist es möglich, (ohne virtual IP) dem Server zu verklickern, Squirrelmail für allen Rechner (auch offizielen IPs) Zugriff erlaubt, aber alle anderen Web-Frontends nur aus meinem Subnetz, oder nur von einer IP aus erreichbar sind. Ich hätte es gern so konfiguriert, das wirklich nur Squirrelmail sichtbar und verfügbar ist. Ist das mit vhost realisierbar, wenn ja wie?
Vielen Dank schon mal 
Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Last edited by benjamin200 on Tue Feb 22, 2005 10:04 pm; edited 1 time in total |
|
| Back to top |
|
 |
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Thu Feb 17, 2005 8:58 am Post subject: Re: Web-Services reduzieren/verbieten |
|
|
| benjamin200 wrote: | Hallo,
auf meinem Gentoo Server läuft als Web-Frontend My-Wiki, Web-Cyradm, Phpmyadmin und Squirrelmail. Ale Verzeichnisse liegen auf dem Server unter /var/www/localhost/htdocs/ - Ich nutze Apache 2.x
Ist es möglich, (ohne virtual IP) dem Server zu verklickern, Squirrelmail für allen Rechner (auch offizielen IPs) Zugriff erlaubt, aber alle anderen Web-Frontends nur aus meinem Subnetz, oder nur von einer IP aus erreichbar sind. Ich hätte es gern so konfiguriert, das wirklich nur Squirrelmail sichtbar und verfügbar ist. Ist das mit vhost realisierbar, wenn ja wie?
Vielen Dank schon mal
Gruß,
Benjamin |
Naja, kommt darauf an, wieviele Netzkarten dein Rechner hat und WIE der Server ans Internet angebunden ist.
Wenn du nur eine Netzkarte drinn hast mit z.B. einer 192.168.x.x Adresse, dann kannst du den Rechner eh nur von draussen erreichen, wenn du noch irgendwo einen Router drann hängen hast. In dem Fall könntest du einfach den Router so konfigurieren, dass Anfragen an die Squirrelmail-Ports direkt zum server geleitet werden, Anfragen an Port 80 aber blockiert werden. Somit wäre von Aussen nur Squirrelmail's Port offen, intern aber alle.
Die andere Möglichkeit ist, du hast einen Server mit 2 Netzkarten drinn, wovon die eine eine "offizielle" IP Adresse hat und die andere eine "interne" IP besitzt. Hier könntest du z.B. Squirrelmail an die Ethernetkarte mit der offiziellen IP binden, während du die anderen Dienste so konfigurierst, dass diese nur an die Ethernetkarte mit der internen IP gebunden werden.
Sicherheitstechnisch wäre aber die zweite Wahl eine Katastrophe!!
Die Andere Möglichkeit ist, mittels Iptables rules zu entscheiden welche Pakete angenommen werden und welche nicht.
Lieber Gruss
STiGGi |
|
| Back to top |
|
|
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
| Posted: Thu Feb 17, 2005 9:12 am Post subject: |
|
|
| Quote: |
Wenn du nur eine Netzkarte drinn hast mit z.B. einer 192.168.x.x Adresse, dann kannst du den Rechner eh nur von draussen erreichen, wenn du noch irgendwo einen Router drann hängen hast. In dem Fall könntest du einfach den Router so konfigurieren, dass Anfragen an die Squirrelmail-Ports direkt zum server geleitet werden, Anfragen an Port 80 aber blockiert werden. Somit wäre von Aussen nur Squirrelmail's Port offen, intern aber alle.
|
Hi STiGMaTa_ch,
es gibt nur eth0, mit einer 192.168.x.x/24er Adresse. Hmm, verstehe nicht wie du das mit Squirrelmail-Ports meinst. Ich verstehe zwar die Logik aber nicht wie man das umsetzen soll. Wenn, dann kann ich doch nur Apache sagen, auf welchem Port er lauschen (LISTEN) soll. Sehe ich da was falsch?
Ahh ja, z.B. Webmin ist ja per Port 10000 an den Server gebunden,
bloß wie mach ich das jetzt für Squirrelmail?
Gruß,
Benjami
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
| Back to top |
|
|
M@rio
n00b
Joined: 01 Dec 2004
Posts: 27
Location: Graz
|
| Posted: Thu Feb 17, 2005 9:29 am Post subject: Re: Web-Services reduzieren/verbieten |
|
|
Per .htaccess oder innerhalb eines <Directory> containers wäre das z.B. machbar.
Entweder in alle Verzeichnisse (gilt automatisch für alle untergeordneten Verzeichnisse auch) die nur vom lokalen Netz erreichbar sein sollen eine .htaccess oder <Directory> eintrag mit dem Inhalt
| Code: | Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24 |
Oder mit obigen Code global (innerhalb von <Directory /> ) in apache2.conf alles verbieten und per .htaccess oder <Directory> dann pro Verzeichnis aufdrehen mit.
Für die Verwendung von .htaccess muss zumindest AllowOverride Limit in apache2.conf definiert sein. |
|
| Back to top |
|
|
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Thu Feb 17, 2005 10:54 am Post subject: |
|
|
| benjamin200 wrote: |
Hmm, verstehe nicht wie du das mit Squirrelmail-Ports meinst. Ich verstehe zwar die Logik aber nicht wie man das umsetzen soll. Wenn, dann kann ich doch nur Apache sagen, auf welchem Port er lauschen (LISTEN) soll. Sehe ich da was falsch?
|
Mein Fehler. Ich kannte Squirrelmail nicht und bin davon ausgegangen, dass es er wie z.B. sendmail etc. an einem eigenen Port lauscht.
Jetzt weiss ich, dass es ein Webmail Geschichte ist 
| Quote: | | Ahh ja, z.B. Webmin ist ja per Port 10000 an den Server gebunden, bloß wie mach ich das jetzt für Squirrelmail? |
Webmin ist laut der Website http://www.webmin.com/intro.html ein eigener (in Perl geschriebener) Webserver welcher unabhängig von Apache läuft.
Also spontan würden mir folgende Ideen kommen:
- Virtual Hosts verwenden.
Du kannst so z.B. einen Virtuellen Host einrichten der auf Port 11000 hört. Die Document Root wäre dann der Pfad zu Squirrel..
z.B. (aus den Fingern gesaugter Code welcher nicht 100% stimmen muss!)
| Code: | <VirtualHost squirrel.meinserver.de:11000>
DocumentRoot /Webroot/und/pfad/zu/squirrel
<Directory /Webroot/und/pfad/zu/squirrel>
Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24
</Directory>
</VirtualHost> |
- Zwei Apache Server Instanzen laufen lassen. Einer lauscht "normal" auf port 80 die andere auf z.B. Port 11000. Dann jeweils auch mit Deny,Allow arbeiten so dass bei der einen Konfiguration die internen und externen Adressen, bei der anderen Konfiguration nur interne Adresse zugelassen werden.
Soweit ich weiss kann man bei apache2 mehrere Konfigurationsdateien erstellen und beim starten einer Instanz einfach angeben welche er benutzen soll.
Wie gesagt, dass sind alles nur Denkanstösse und Ideen wie ich es versuchen würde.
Lieber Gruss
STiGGi |
|
| Back to top |
|
|
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
| Posted: Thu Feb 17, 2005 11:21 am Post subject: |
|
|
| Quote: |
Per .htaccess oder innerhalb eines <Directory> containers wäre das z.B. machbar.
Entweder in alle Verzeichnisse (gilt automatisch für alle untergeordneten Verzeichnisse auch) die nur vom lokalen Netz erreichbar sein sollen eine .htaccess oder <Directory> eintrag mit dem Inhalt
Code:
Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24
Oder mit obigen Code global (innerhalb von <Directory /> ) in apache2.conf alles verbieten und per .htaccess oder <Directory> dann pro Verzeichnis aufdrehen mit.
Code:
Allow from all
Für die Verwendung von .htaccess muss zumindest AllowOverride Limit in apache2.conf definiert sein.
|
Das gefällt mir sehr gut, so kann ich alles auf intern stellen und nur webmal external erlauben.
Vielen Dank M@rio
| Quote: |
- Zwei Apache Server Instanzen laufen lassen. Einer lauscht "normal" auf port 80 die andere auf z.B. Port 11000. Dann jeweils auch mit Deny,Allow arbeiten so dass bei der einen Konfiguration die internen und externen Adressen, bei der anderen Konfiguration nur interne Adresse zugelassen werden.
Soweit ich weiss kann man bei apache2 mehrere Konfigurationsdateien erstellen und beim starten einer Instanz einfach angeben welche er benutzen soll.
|
auch ne gute Idee.
| Quote: |
zu Squirrel..
z.B. (aus den Fingern gesaugter Code welcher nicht 100% stimmen muss!)
Code:
<VirtualHost squirrel.meinserver.de:11000>
DocumentRoot /Webroot/und/pfad/zu/squirrel
<Directory /Webroot/und/pfad/zu/squirrel>
Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24
</Directory>
</VirtualHost>
|
diese Lösung erscheint mir am geeignetsten. Wo muss der o. g. Code rein?
Thx,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
| Back to top |
|
|
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Thu Feb 17, 2005 12:27 pm Post subject: |
|
|
| benjamin200 wrote: | | Quote: |
| Code: | <VirtualHost squirrel.meinserver.de:11000>
DocumentRoot /Webroot/und/pfad/zu/squirrel
<Directory /Webroot/und/pfad/zu/squirrel>
Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24
</Directory>
</VirtualHost> |
|
diese Lösung erscheint mir am geeignetsten. Wo muss der o. g. Code rein? |
Hilfe zu Virtual Hosts findest du unter http://httpd.apache.org/docs-2.0/de/vhosts/
Da steht auch was für direktiven Unterstützt werden.
Lieber Gruss
STiGGi |
|
| Back to top |
|
|
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
| Posted: Thu Feb 17, 2005 2:07 pm Post subject: |
|
|
Danke für den Link
Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
|
| Back to top |
|
|
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
| Posted: Tue Feb 22, 2005 10:04 pm Post subject: |
|
|
Hi Leute,
nochmals Danke an euch allen. Habe mich jetzt für denLösungsvorschlag von M@rio entschieden:
Im zu schützenden Verzeichnis eine .htaccess mit folgenden Inhalt anlegen (IP anpassen):
| Code: |
Order Deny,Allow
Deny from all
Allow from 192.168.x.x/24
|
Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
