Forum KOPI Strona Główna KOPI
Forum Klubu Opiekunów Pracowni Internetowych
 
 FAQFAQ   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy   RejestracjaRejestracja 
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Apache na publicznym IP

 
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Wed Mar 26, 2014 2:47 pm    Temat postu: Apache na publicznym IP Odpowiedz z cytatem

Widzę apache w sieci lokalnej natomiast na publicznym IP nie . Co robić ? Na routerze port 80 jest udostępniony .
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Roman Mor
Moderator


Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: Wrocław

PostWysłany: Wed Mar 26, 2014 3:17 pm    Temat postu: Re: Apache na publicznym IP Odpowiedz z cytatem

butek napisał:
Na routerze port 80 jest udostępniony .
Udostępniony czy przekierowany?
_________________
Pozdrawiam, RM
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Wed Mar 26, 2014 3:49 pm    Temat postu: Odpowiedz z cytatem

To bardzo istotna uwaga Romanie. Smile
Na routerze musi być zrobiony forward portu na IP maszyny z apaczem. Jednak to nie wszystko, jeśli na tej maszynie masz uruchomione jakieś reguły iptables, to trzeba otworzyć na niej port http. Odpowiednia reguła powinna być na początku, tuż po wstępnym czyszczeniu łańcuchów i ustaleniu reguły ogólnej INPUT. Zakładam, że jeśli te reguły istnieją, to mają INPUT ustawiony na DROP. Wtedy potrzebne jest coś w tym stylu:
iptables -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
gdzie $EXTIF to interfejs WAN dla tego serwera, zwykle jest to pierwsza karta (eth0).
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Thu Mar 27, 2014 7:53 am    Temat postu: Odpowiedz z cytatem

http://zszstudzieniec.home.pl/forum/index.php?topic=9465.0
Tu zamieściłem zrzut z routera (adres zewnętrzny to 192.168.1.35 a publiczny to 80.52.243.42)
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Thu Mar 27, 2014 8:05 am    Temat postu: Odpowiedz z cytatem

Po wpisaniu adresu publicznego wygląda że squid go blokuje
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Thu Mar 27, 2014 9:42 am    Temat postu: Odpowiedz z cytatem

Screena się nie da obejrzeć bez założenia konta, ale to nie jest potrzebne, wystarczy wpisać podany adres i zobaczy się to samo.

Domyślam się, ze ten serwer z apaczem jest jednocześnie bramą, na której działa też squid, aby wszyscy korzystali ze squida (niezależnie od ustawień) masz regułkę przekierowującą na squida i to ona jest źle skonstruowana.

Stawiam diamenty przeciw orzechom, że to jest Debian. Very Happy
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Thu Mar 27, 2014 9:55 am    Temat postu: Odpowiedz z cytatem

Kod:
fedora@linux-idez:~> cat zapora.txt
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8074 -j DROP
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT

#NFS
iptables -A OUTPUT -p tcp --dport 2049 -j ACCEPT
iptables -A OUTPUT -p udp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -j ACCEPT

#NFS
iptables -A OUTPUT -p tcp --dport 4045 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4045 -j ACCEPT
iptables -A INPUT -p tcp --dport 4045 -j ACCEPT
iptables -A INPUT -p tcp --dport 4045 -j ACCEPT

#NIS yppasswdd
iptables -A OUTPUT -p tcp --dport 836 -j ACCEPT
iptables -A OUTPUT -p udp --dport 836  -j ACCEPT
iptables -A INPUT -p tcp --dport 836   -j ACCEPT
iptables -A INPUT -p tcp --dport 836  -j ACCEPT

iptables -A OUTPUT -p tcp --dport 1110 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1110  -j ACCEPT
iptables -A INPUT -p tcp --dport 1110   -j ACCEPT
iptables -A INPUT -p tcp --dport 1110  -j ACCEPT

#Portmap
iptables -A OUTPUT -p tcp --dport 111 -j ACCEPT
iptables -A OUTPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT


iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT


iptables -A INPUT -i eth1 -s 172.23.198.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A INPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p tcp --dport 135 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 445 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 3128 -m state --state NEW -j ACCEPT

iptables -A INPUT  -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p udp --dport 3128 -m state --state NEW -j ACCEPT

#VPN !!!!
iptables -A INPUT  -p udp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT  -p tcp --dport 1194 -m state --state NEW -j ACCEPT



iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111  -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049  -j ACCEPT
iptables -A INPUT -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT

iptables -A OUTPUT  -p tcp --dport 9400 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 9402 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT  -p tcp --dport 111 -m state --state NEW -j  ACCEPT
iptables -A OUTPUT  -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1  -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403  -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24  -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400  -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403  -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631  -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostepniaie internetu w sieci lokalnej

iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT

iptables -t nat -N MOODLE
iptables -t nat -N PREZI
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
#Zmienić na 3128 SQUID

iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING  -j MASQUERADE
iptables -t nat -A PREZI -d prezi.com -j ACCEPT



Tu jest mój iptables. . Rzeczywiście jest to debian. Squid chodzi na porcie 3128
Kod:
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 3128

A powiesz co zmienić ?

P.S.
Już można czytać załączniki z mojego forum
_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
butek
Użytkownik Forum


Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc

PostWysłany: Thu Mar 27, 2014 4:57 pm    Temat postu: Odpowiedz z cytatem

Faktycznie problem był w firewallu.
Zmieniłem ustawienia w ports.conf
Kod:
NameVirtualHost *:8080
Listen 8080


oraz
w pliku sites-available/default
Kod:
<VirtualHost *:8080>
        ServerAdmin webmaster@localhost

        DocumentRoot /var/www
<Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>


I widze apache na publicznym ip
ale próbowałem w /var/www założyć nowy katalog z inną zawartością
i strona ADRES/katalog nie działa

oczywiście zmieniłem konfigurację
Kod:
<VirtualHost *:8080>
        ServerAdmin webmaster@localhost

        DocumentRoot /var/www/lms
<Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/lms/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

_________________
Mirosław Butajło
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Thu Mar 27, 2014 9:49 pm    Temat postu: Odpowiedz z cytatem

Kod:
iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 3128

$INTIF to interfejs LAN, czyli wewnętrzny.

Twoja reguła:
Kod:
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j REDIRECT --to-port 3128

przekierowuje na squida wszystkie żądania dotyczące portu 80, także te z zewnątrz.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Thu Mar 27, 2014 10:24 pm    Temat postu: Odpowiedz z cytatem

No i jeszcze coś. Firewall. Odpaliłem sobie te regułki i zobacz:
Kod:

[root@builder maciek]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere            udp dpt:22
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:631
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:631
ACCEPT     udp  --  anywhere             anywhere            udp dpt:443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4443
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2049
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2049
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4045
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4045
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:836
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:836
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1110
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1110
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:135
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8080
ACCEPT     all  --  192.168.22.0/24      anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9400 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9401 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9402 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9403 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sunrpc state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2049 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:631 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:135 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-ns state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:netbios-dgm state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:445 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8080 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:8080 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:3128 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:1723 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723 state NEW
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1194 state NEW
ACCEPT     tcp  --  192.168.22.0/24      anywhere            tcp dpt:631
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             builder             tcp dpt:ssh
ACCEPT     udp  --  anywhere             builder             udp dpt:22
ACCEPT     tcp  --  anywhere             builder             tcp dpt:3128
ACCEPT     udp  --  anywhere             builder             udp dpt:3128
ACCEPT     tcp  --  anywhere             builder             tcp dpt:631
ACCEPT     tcp  --  anywhere             builder             tcp dpt:8080
ACCEPT     udp  --  anywhere             builder             udp dpt:8080
ACCEPT     tcp  --  anywhere             builder             tcp dpt:sunrpc
ACCEPT     tcp  --  anywhere             builder             tcp dpt:9400
ACCEPT     tcp  --  anywhere             builder             tcp dpt:2049
ACCEPT     tcp  --  anywhere             builder             tcp dpt:9401
ACCEPT     tcp  --  anywhere             builder             tcp dpt:9402
ACCEPT     tcp  --  anywhere             builder             tcp dpt:9403
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:3128
ACCEPT     udp  --  anywhere             192.168.22.0/24     udp dpt:3128
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:sunrpc
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:9400
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:2049
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:9401
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:9402
ACCEPT     tcp  --  anywhere             192.168.22.0/24     tcp dpt:9403
ACCEPT     tcp  --  anywhere             builder             tcp dpt:631
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED


To jest tylko lista otwartych portów w łąńcuchu INPUT. Gdyby nie to, że masz router zabezpieczający ten serwer to twój serwer byłby najbardziej dziurawym Linuksem jaki widziałem. Pomijając już to, ze kolejność regułek jest mocno przypadkowa. A ten łańcuch INPUT to nawet nie jest połowa wszystkich portów wylistowanych w tej komendzie.
Oczywiście zmieniłem twoją pulę z LAN na swoją (192.168.22.0), a nazwa builder to nazwa mojego serwera (192.168.22.1). To taka uwaga na wypadek, gdybyś się dziwił, skąd inne numery.
Nie będę analizować linijki po linijce, bo zdążyłbyś przejść na emeryturę, zanim bym skończył. Wink
Ale...
Dlaczego masz otwarty port drukarki 631 na świat? Tam się mieści zarządzanie CUPSem, potencjalny haker mógłby ci włączyć drukowanie w pętli czegokolwiek, a ty byś się dziwił po każdym właczeniu drukarki i myślałbyś, ze zwariowała.
Po co por 22 jest otwarty zarówno w TCP, jak i UDP? To dotyczy zresztą wielu innych portów. UDP powinien być otwarty jedynie port nameda, o ile pełni jakieś funkcje. a reszta zamknięte. Mało jest programów działających na UDP.
W łańcuchu INPUT powinieneś otwierać tylko te porty, które odpowiadają usługom na serwerze. Czyli: masz serwer www, otwierasz port 80, nie masz serwera smtp, nie otwierasz portu 25.

Poniżej masz przykład tego jak wygląda prosty zestaw reguł na komputerze, który jest routerem i jednocześnie serwerem www.

Kod:

[root@szkola ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            multiport dports 135,445
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             Komp_1              tcp dpt:3389
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            multiport dports 135,445
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination



No i jeszcze zasady dotyczące sieci lokalnej:

Kod:

[root@szkola ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:3389 to:192.168.1.3:3389
REDIRECT   tcp  -- !Komp_1               anywhere            tcp dpt:www redir ports 8080

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


W tym ostatnim zestawie widać, ze jest Komp_1 na którym jest uruchomiony RDP (3389) i zrobiony do niego forward, wszystkie żądania www są przekierowane na port 8080 (Dansguardian) oprócz Komp_1, bo to komputer nauczyciela.

Proste? Ano właśnie. Smile

PS. Zobacz sobie jak został zrobiony firewall w NND.
http://repo.nnd.freesco.pl/iptables-1.3.4-15nnd.pkg.tar.gz
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Linux Wszystkie czasy w strefie CET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


Powered by phpBB © 2001, 2005 phpBB Group