Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Server aus den Internet unerreichbar machen

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Anthony
Member
Member
Beiträge: 158
Registriert: 14. Feb 2007, 19:20

Server aus den Internet unerreichbar machen

Beitrag von Anthony » 9. Sep 2007, 11:41

Hallo Leute,

ich habe gestern mit viel Mühe lx-office-erp installiert. Dafür musste ich einen Server mit Postgresql und apache2 einrichten. Nun habe ich festgestellt, dass wenn ich meine IP-Adresse (die mir z.B. auf www.wieistmeineip.de angezeigt wird) im Browser eingebe, ich auf meinen Server Zugriff bekomme. Dies möchte ich unbedingt unterbinden, da ich nicht so auf Sicherheitslücken stehe und nicht möchte, dass z.B. jemand Zugriff auf meine Datenbanken von lx-office bekommt. Meine Frage an euch ist jetzt: Wie kann ich unterbinden, dass mein Server vom Internet erreichbar ist?


Ich verwende Suse 10.2.



mfg Anthony
Bild

Werbung:
spoensche
Moderator
Moderator
Beiträge: 7378
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Beitrag von spoensche » 9. Sep 2007, 12:57

Öffne mal per yast den Editor für /etc/sysconfig dateien. Dort unter netzwerk->firewall->suse firewall mal unter dem eintrag FW_SERVICES_EXT_TCP nachsehen ob die ports dort für http freigegeben sind. wenn ja, die einträge mal entfernen, dann sollte dein webserver vom internet nicht mehr erreichbar sein. durchaus möglich ist, dass du dann auch aus dem lokalen netz nicht mehr auf den webserver zugreifen kannst.

Alternativ kannst du auch in der /etc/hosts.deny den eintrag ALL:DENY und dann in der /etc/hosts.allow den eintrag httpd: range von deinem netzwerk eintragen. Dann ist der zugriff auf den webserver von deinem netzwerk noch möglich. (ich würde es so machen)

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4265
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: Server aus den Internet unerreichbar machen

Beitrag von framp » 9. Sep 2007, 13:25

Anthony hat geschrieben:Nun habe ich festgestellt, dass wenn ich meine IP-Adresse (die mir z.B. auf www.wieistmeineip.de angezeigt wird) im Browser eingebe, ich auf meinen Server Zugriff bekomme.
Das ist klar dass das geht. :wink: . TCP/IP ist nämlich so intelligent und benutzt Deine lokale IP Adresse und nicht die externe IP um auf den lokalen Webserver zuzugreifen. Und der lokale Zugriff ist ja erlaubt :wink: .

Du mußt jemanden aus dem Internet versuchen lassen auf den Webserver zuzugreifen. Sofern Deine FW richtig konfiguriert ist wir es dann nicht gehen.

Anthony
Member
Member
Beiträge: 158
Registriert: 14. Feb 2007, 19:20

Beitrag von Anthony » 9. Sep 2007, 14:03

Hallo,

ersteinmal danke für die schnellen Antworten. Ich habe mal in meine hosts.deny geschaut, die sieht so aus:

Code: Alles auswählen

# /etc/hosts.deny
# See 'man tcpd' and 'man 5 hosts_access' as well as /etc/hosts.allow
# for a detailed description.

http-rman : ALL EXCEPT LOCAL

was für eine range meintest du? Und was genau muss ich da eingeben?


Ich habe auch gerade mal von einem anderen PC (mit anderer IP-Adresse) versucht auf meinen Server zuzugreifen, das funktionierte nicht . :)
Ich bin mir jedoch leider immer noch nicht ganz sicher, ob das ganze nicht doch von einem anderen PC aus funktionieren könnte.


mfg Anthony
Bild

spoensche
Moderator
Moderator
Beiträge: 7378
Registriert: 30. Okt 2004, 23:53
Wohnort: Siegen

Beitrag von spoensche » 10. Sep 2007, 14:45

mit range meine ich den netzwerkbereich von deinem netzwerk zuhause.
etwa sowas: 192.168.1.0/24

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4265
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: Server aus den Internet unerreichbar machen

Beitrag von framp » 10. Sep 2007, 18:44

Anthony hat geschrieben:Meine Frage an euch ist jetzt: Wie kann ich unterbinden, dass mein Server vom Internet erreichbar ist?
SuSE 10.2 hat eine Firewall. Die entweder mit YAST konfigurieren oder die /etc/sysconfig/SuSEfirewall Config Datei mit einem Editor ändern. Die Datei enhält sehr gute Kommentarzeilen, die beim Konfigurieren helfen.

Danach als Finaltest ein nmap gegen den Host (aus dem Internet ;-) ) um zu testen dass alle Ports zu sind.

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 11. Sep 2007, 20:28

Unerreichbar? NAT. Viel NAT. Oder Kabel ziehen ;-)

Anthony
Member
Member
Beiträge: 158
Registriert: 14. Feb 2007, 19:20

Re: Server aus den Internet unerreichbar machen

Beitrag von Anthony » 11. Sep 2007, 21:10

framp hat geschrieben:
SuSE 10.2 hat eine Firewall. Die entweder mit YAST konfigurieren oder die /etc/sysconfig/SuSEfirewall Config Datei mit einem Editor ändern.
Danke für den Tipp, ich habe mal YAST und dann Firewall geöffnet. Bei "Erlaubt Dienste" ist bei Externe Zone nichts eingetragen, ich nehme an, dass das heißt, dass der Server von einem außenstehenden PC nicht errichbar ist, oder?
jengelh hat geschrieben: Oder Kabel ziehen :wink:
Auch eine gute Idee, ich mus nur leider mit dem PC noch ins Internet :lol:


mfg Anthony
Bild

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4265
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Re: Server aus den Internet unerreichbar machen

Beitrag von framp » 11. Sep 2007, 21:27

Anthony hat geschrieben:... ich habe mal YAST und dann Firewall geöffnet. Bei "Erlaubt Dienste" ist bei Externe Zone nichts eingetragen, ich nehme an, dass das heißt, dass der Server von einem außenstehenden PC nicht errichbar ist, oder?
Ich denke ja. Aber wie gesagt: Die ultimative Aussage über offene Ports erhältst Du per nmap Aufruf aus dem Internet. Diesen Test mache ich immer wenn ich an meiner FW rumgefummelt habe 8)

pft
Advanced Hacker
Advanced Hacker
Beiträge: 843
Registriert: 22. Dez 2004, 13:01

Beitrag von pft » 12. Sep 2007, 09:35

ass der Server von einem außenstehenden PC nicht errichbar ist
das heißt zunächst mal nur, dass dein PC aus der externen Zonen nicht erreichbar ist.
Wichtig ist nun, dass deine Netzkonfiguration zu dem paßt was dein Rechner / deine Firewall als externe Zone ansieht. Normalerweise sollte das das Internet sein.

Falls Du dazu Hilfe brauchst musst Du uns aber etwas zu deiner Netzkonfig sagen.

BTW, wenn dein Rechner aus dem Internet gar nicht erreichbar sein soll, und das ist nach Stecker ziehen die zweitsicherste Einstellung, dann mach das über die Firewall und nicht über den TCP-Wrapper. Das ist deutlich unsicherer.

Noch eines: verwendest zu für den Internetzugang Router oder Modem? Falls Router, dann hat der (hoffentlich) auch eine Firewall und die solltest Du zuerst dicht machen.
Sagt der Porsche bei 250 km/h zu seinem Fahrer: "Ich kann noch mehr - Du auch?"
... Ich hab zwar keinen Porsche aber dafür Linux

Anthony
Member
Member
Beiträge: 158
Registriert: 14. Feb 2007, 19:20

Beitrag von Anthony » 12. Sep 2007, 18:40

Ich habe jetzt mal bei www.port-scan.de ausfürhliche Tests gemacht, die alle ergeben haben, dass alle Ports geschlossen sind. Ich denke dass bedeutet nun endgültig, dass mein Server vom Internet nicht erreichbar ist, oder?


mfg Anthony
Bild

Telefonmann0815
Newbie
Newbie
Beiträge: 2
Registriert: 16. Sep 2007, 12:28

Beitrag von Telefonmann0815 » 16. Sep 2007, 12:32

Hallo,

ich hätte da eine kleine Frage an den Originalposter: gibt es eine brauchbare Anleitung zur Installation von Lx-Office explizit für OpenSuse 10.2? Ich suche nämlich seit Tagen danach und finde lediglich ziemlich antiquierte Sachen...

Das würde mir sehr viel weiter helfen.

Danke und Gruß
Telefonmann

Anthony
Member
Member
Beiträge: 158
Registriert: 14. Feb 2007, 19:20

Beitrag von Anthony » 16. Sep 2007, 13:00

Guck mal hier: http://www.lx-office.org/index.php?id=dokumentation

Ich habe die inst_suse91.pdf Anleitung benutzt. Die ist sehr ausführlich, mit vielen Bildern und gut zu verstehen.


mfg Anthony
Bild

Telefonmann0815
Newbie
Newbie
Beiträge: 2
Registriert: 16. Sep 2007, 12:28

Beitrag von Telefonmann0815 » 17. Sep 2007, 08:12

Ahja - die habe ich schon gefunden, aber ich war mir nicht wirklich sicher, ob sie bei 10.2 auch brauchbar ist. Danke für die Info! ich werd's mal versuchen.

Gruß
Telefonmann

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast