Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Serwer WWW - tylko wewnątrz sieci, a nie na zewnątrz - ???
http://forum.freesco.pl/viewtopic.php?f=24&t=16219		 Strona 1 z 1
Autor:  MarkosX [ poniedziałek, 12 listopada 2007, 04:00 ]
Tytuł:  Serwer WWW - tylko wewnątrz sieci, a nie na zewnątrz - ???
Witam,
przeszukałem forum i nie znalazłem odpowiedzi na to jak zablokować dostęp do strony WWW na serwerze z zewnątrz (z netu).

Mam stronke (apache), DSL i chciałbym, żeby stronka chodziła tylko wewnątrz sieci (w LAN-ie).
Teraz mam problem z zablokowaniem strony, aby nie była widoczna z zewnątrz.
Używam domeny dyn.pl.

.htaccess odpada.

Używam Firewalla by @Czerwo

w rc.conf:
WWW=0

firewall:
: [/] [] ()
    # zaplotkuj jesli nie chcesz udostepniac serwisu  http do inetu
#    if [ $WWW = 1 ]; then
#       $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
#    fi
GeSHi © Codebox Plus


iptables -L | grep dpt:
: [/] [] ()
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:1080 reject-with icmp-port-unreachable
GeSHi © Codebox Plus


netstat -an
: [/] [] ()
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:82              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:83              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:84              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:85              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:7387            0.0.0.0:*               LISTEN
tcp        0    132 10.0.0.200:7387         10.0.0.2:2388           ESTABLISHED
GeSHi © Codebox Plus


Jak na ironię przeglądając forum, praktycznie Wszyscy mieli problem z dostępem do strony z zewnątrz (z netu) po adresie (nazwie), ja nie mogę zrobić, aby nie było dostępu po adresie jak i ip :/

Myślę, że trzeba "zaczarować" w firewallu, niestety słaby ze mnie "czarodziej" :)

Będę wdzięczny za pomoc.
Autor:  -MW- [ poniedziałek, 12 listopada 2007, 04:06 ]
Tytuł: 
pokaz wynik:

iptables -L INPUT -t filter -v -n
Autor:  zciech [ poniedziałek, 12 listopada 2007, 12:15 ]
Tytuł: 
Cytuj:
Używam Firewalla by @Czerwo

w rc.conf:
WWW=0

firewall:


Skoro uzywasz Firewalla by @Czerwo
to wpisz w jego konfiguracji blokowanie portu 80 i wygeneruj nowe reguly.
Autor:  MarkosX [ poniedziałek, 12 listopada 2007, 18:23 ]
Tytuł: 
iptables -L INPUT -t filter -v -n:
: [/] [] ()
Chain INPUT (policy DROP 8357 packets, 676K bytes)
 pkts bytes target     prot opt in     out     source               destination                                               
 1563  125K mrtg_traffic  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                             
 8776  768K LIMITY     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                 
 9576  869K mrtg_traffic  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                             
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         multiport dports 135,445
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         multiport dports 137,138,139,1025,2745,3127,4751,5000,6129,6346,17300
  689 77764 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         multiport dports 137,138,139,1025,2745,3127,4751,5000,6129,6346,17300
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0                                                         tcp dpt:20
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0                                                         tcp dpt:21
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0                                                         tcp dpt:22
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         tcp dpt:113 reject-with icmp-port-unreachable
    2   104 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         tcp dpt:1080 reject-with icmp-port-unreachable
 3927  236K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                                                         icmp type 8 limit: avg 1/sec burst 5
 3250  273K ACCEPT     all  --  !eth0  *       10.0.0.2             0.0.0.0/0                                                 
    9   432 ACCEPT     all  --  !eth0  *       10.0.0.3             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.4             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.5             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.6             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.7             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.8             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.9             0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.10            0.0.0.0/0                                                 
    0     0 ACCEPT     all  --  !eth0  *       10.0.0.11            0.0.0.0/0                                                 
   85  3949 ACCEPT     all  --  !eth0  *       10.0.0.12            0.0.0.0/0                                                 
 1785  281K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                         state RELATED,ESTABLISHED
GeSHi © Codebox Plus


Cytuj:
Skoro uzywasz Firewalla by @Czerwo
to wpisz w jego konfiguracji blokowanie portu 80 i wygeneruj nowe reguly.


i zrobiłem tak, ale to blokuje stronę całkowicie, po lanie też nie mogę wejść na strone (po numerze ip serwera).
po wygenereowaniu firewalla w pliku iptables.rules dodały się takie regułki:
: [/] [] ()
-A INPUT -p tcp -m multiport --dports 80 -j DROP
-A INPUT -p udp -m multiport --dports 80 -j DROP
GeSHi © Codebox Plus


Ogólnie kaszanka z mielonką, wciąż :/
Autor:  Osfald [ poniedziałek, 12 listopada 2007, 20:31 ]
Tytuł: 
zciech pisze:
Skoro uzywasz Firewalla by @Czerwo
to wpisz w jego konfiguracji blokowanie portu 80 i wygeneruj nowe reguly.


i to jest najlepsze rozwiazanie... w koncu po cos sie Czerwo nameczyl aby dalo sie latwo konfigurowac tego firewall'a :)

z drugiej strony wydaje mi sie, ze wystarczy dodac do firewall'a regulke:

: [/] [] ()
iptables -A INPUT -p tcp -i ethX --dport 80 -j DROP
GeSHi © Codebox Plus


zamiast ethX wpisz eth0 lub eth1 lub inny interface sieciowy na ktorym masz internet
dostep do WWW bedzie zablokowany tylko dla ludzi z zewnatrz :)
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/