| Zobacz poprzedni temat :: Zobacz następny temat |
| Autor |
Wiadomość |
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
 Wysłany: Sun Nov 02, 2008 8:10 pm Temat postu: apache i adres publiczny |
 |
|
Debian 4.0
Miałem problem z apache2 i wyrzuciłem go.
Zainstalowałem ze źródeł apache 2.0 . Serwer jest widoczny w sieci lokalnej ale nie moge zobaczyć go na zewnątrz. "KOpię juz cały dzień " i nic. Cyba sam sie będę kopał .
Jak zrobic aby był widoczny na zewnątrz . Mam stały adres IP
To mój iptables
| Kod: | secho 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# port gadu
iptables -A INPUT -p udp --dport 1550 -j DROP
iptables -A INPUT -p tcp --dport 1550 -j DROP
iptables -A INPUT -p udp --dport 8074 -j DROP
iptables -A INPUT -p tcp --dport 8074 -j DROP
##########
iptables -t filter -A FORWARD -s 172.23.198.0/24 -p tcp --dport 80 -j REJECT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 4025 -j ACCEPT
iptables -A INPUT -p tcp --dport 4025 -j ACCEPT
iptables -A INPUT -p udp --dport 42 -j ACCEPT
iptables -A INPUT -p tcp --dport 42 -j ACCEPT
iptables -A INPUT -i eth0 -s 172.23.198.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 443 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 4025 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 4025 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 1550 -m state --state NEW -j REJECT
iptables -A INPUT -p udp --dport 1550 -m state --state NEW -j REJECT
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403 -j ACCEPT
#Port Nagios
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 12489 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 12489 -j ACCEPT
#ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.23.198.0/24 -j MASQUERADE
iptables -t filter -A FORWARD -s 172.23.198.0/24 -p tcp --dport 80 -j REJECT
iptables -I FORWARD -p tcp --dport 80 -j DROP
###########blokada 80
iptables -t nat -A PREROUTING -s 172.23.198.0/24 -p tcp -d 0/0 --dport 80 -j DNAT --to-destination 172.23.198.1:3128
###########
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A PREROUTING -s 172.23.198.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Przekierowanie na tablicę ogłoszeń
#iptables -A PREROUTING -t nat -s 172.23.198.0/255.255.255.0 -p tcp --dport 1:65535 -j DNAT --to- 172.23.198.1:82
iptables -t nat -A PREROUTING -s 172.23.198.0/24 -p tcp -d 0/0 --dport 80 -j DNAT --to-destination 172.23.198.1:82 |
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
 |
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Sun Nov 02, 2008 9:00 pm Temat postu: |
|
|
Strasznie skomplikowany masz ten plik z regułami. I wcale nie oznacza to, że jest on bardzo bezpieczny przez to skomplikowanie. Ja wyznaję regułę KISS - Keep It Simple Stupid. 
Masz na przykład wpisaną regułke drop dla portów gg, potem jeszcze raz to sama ale z reject.. Puszczasz udp tam gdzie usługa wiadomo, że pracuje na tcp...
Podstawowa reguła INPUT dla apacza powinna wyglądac tak:
iptables -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT ($EXTIF to interfejs zewnętrzny serwera). |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Sun Nov 02, 2008 9:38 pm Temat postu: |
|
|
Apache na zewnątrz ruszył . Mam jeszcze inne pytanie :
chcę zrobić na apache tablicę ogłoszeń i aby na stacjach otwierała się domyslnie ta tablica w przeglądarkach.
Robię to tak
| Kod: | <VirtualHost 172.23.198.1:82>
DocumentRoot /home/fedora/tablica //katalog z tablicą ogłoszeń
ScriptAlias /cgi-bin/ /home/fedora/tablica/cgi-bin/ //adres
katalogu ze spryptami
ServerName serverlinux.domenalinux // jakaś tam nazwa serwera i domena wewnętrzna
</VirtualHost>
|
| Kod: | iptables -t nat -A PREROUTING -s 172.23.198.0/24 -p tcp -d 0/0 --
dport 80 -j DNAT --to-destination 172.23.198.1:82 |
ale nie działa
1) | Kod: | | netstat -nap |grep 82 |
pokazuje ze nic nie słucha na 82
2) Czy do virtualnych hostów apache musi miec doinstalowany jakiś moduł ?
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Sun Nov 02, 2008 10:00 pm Temat postu: |
|
|
Zauwałem że apache rozłącza się na zewnętrznym IP (raz działa a raz nie ) . Na wewnętrznym działa bez problemów. Dlaczego ?
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Mon Nov 03, 2008 12:20 am Temat postu: |
|
|
| Raczej dobrze, że to przekierowanie ci nie działa. Jeśli by działało, to nikt żadnej strony by nie obejrzał. Chyba nie o to chodzi. |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Mon Nov 03, 2008 9:32 am Temat postu: |
|
|
Obciach na routerze nie było przekierowania na interfejs zewnętrzny
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
|
FAQ
Szukaj
Użytkownicy
Grupy
Rejestracja
Profil
Zaloguj się, by sprawdzić wiadomości
Zaloguj
