• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Server aus den Internet unerreichbar machen

Anthony

Member
Hallo Leute,

ich habe gestern mit viel Mühe lx-office-erp installiert. Dafür musste ich einen Server mit Postgresql und apache2 einrichten. Nun habe ich festgestellt, dass wenn ich meine IP-Adresse (die mir z.B. auf www.wieistmeineip.de angezeigt wird) im Browser eingebe, ich auf meinen Server Zugriff bekomme. Dies möchte ich unbedingt unterbinden, da ich nicht so auf Sicherheitslücken stehe und nicht möchte, dass z.B. jemand Zugriff auf meine Datenbanken von lx-office bekommt. Meine Frage an euch ist jetzt: Wie kann ich unterbinden, dass mein Server vom Internet erreichbar ist?


Ich verwende Suse 10.2.



mfg Anthony
 

spoensche

Moderator
Teammitglied
Öffne mal per yast den Editor für /etc/sysconfig dateien. Dort unter netzwerk->firewall->suse firewall mal unter dem eintrag FW_SERVICES_EXT_TCP nachsehen ob die ports dort für http freigegeben sind. wenn ja, die einträge mal entfernen, dann sollte dein webserver vom internet nicht mehr erreichbar sein. durchaus möglich ist, dass du dann auch aus dem lokalen netz nicht mehr auf den webserver zugreifen kannst.

Alternativ kannst du auch in der /etc/hosts.deny den eintrag ALL:DENY und dann in der /etc/hosts.allow den eintrag httpd: range von deinem netzwerk eintragen. Dann ist der zugriff auf den webserver von deinem netzwerk noch möglich. (ich würde es so machen)
 

framp

Moderator
Teammitglied
Anthony schrieb:
Nun habe ich festgestellt, dass wenn ich meine IP-Adresse (die mir z.B. auf www.wieistmeineip.de angezeigt wird) im Browser eingebe, ich auf meinen Server Zugriff bekomme.
Das ist klar dass das geht. :wink: . TCP/IP ist nämlich so intelligent und benutzt Deine lokale IP Adresse und nicht die externe IP um auf den lokalen Webserver zuzugreifen. Und der lokale Zugriff ist ja erlaubt :wink: .

Du mußt jemanden aus dem Internet versuchen lassen auf den Webserver zuzugreifen. Sofern Deine FW richtig konfiguriert ist wir es dann nicht gehen.
 
OP
A

Anthony

Member
Hallo,

ersteinmal danke für die schnellen Antworten. Ich habe mal in meine hosts.deny geschaut, die sieht so aus:
Code:
# /etc/hosts.deny
# See 'man tcpd' and 'man 5 hosts_access' as well as /etc/hosts.allow
# for a detailed description.

http-rman : ALL EXCEPT LOCAL

was für eine range meintest du? Und was genau muss ich da eingeben?


Ich habe auch gerade mal von einem anderen PC (mit anderer IP-Adresse) versucht auf meinen Server zuzugreifen, das funktionierte nicht . :)
Ich bin mir jedoch leider immer noch nicht ganz sicher, ob das ganze nicht doch von einem anderen PC aus funktionieren könnte.


mfg Anthony
 

framp

Moderator
Teammitglied
Anthony schrieb:
Meine Frage an euch ist jetzt: Wie kann ich unterbinden, dass mein Server vom Internet erreichbar ist?

SuSE 10.2 hat eine Firewall. Die entweder mit YAST konfigurieren oder die /etc/sysconfig/SuSEfirewall Config Datei mit einem Editor ändern. Die Datei enhält sehr gute Kommentarzeilen, die beim Konfigurieren helfen.

Danach als Finaltest ein nmap gegen den Host (aus dem Internet ;-) ) um zu testen dass alle Ports zu sind.
 
OP
A

Anthony

Member
framp schrieb:
SuSE 10.2 hat eine Firewall. Die entweder mit YAST konfigurieren oder die /etc/sysconfig/SuSEfirewall Config Datei mit einem Editor ändern.

Danke für den Tipp, ich habe mal YAST und dann Firewall geöffnet. Bei "Erlaubt Dienste" ist bei Externe Zone nichts eingetragen, ich nehme an, dass das heißt, dass der Server von einem außenstehenden PC nicht errichbar ist, oder?

jengelh schrieb:
Oder Kabel ziehen :wink:

Auch eine gute Idee, ich mus nur leider mit dem PC noch ins Internet :lol:


mfg Anthony
 

framp

Moderator
Teammitglied
Anthony schrieb:
... ich habe mal YAST und dann Firewall geöffnet. Bei "Erlaubt Dienste" ist bei Externe Zone nichts eingetragen, ich nehme an, dass das heißt, dass der Server von einem außenstehenden PC nicht errichbar ist, oder?
Ich denke ja. Aber wie gesagt: Die ultimative Aussage über offene Ports erhältst Du per nmap Aufruf aus dem Internet. Diesen Test mache ich immer wenn ich an meiner FW rumgefummelt habe 8)
 

pft

Advanced Hacker
ass der Server von einem außenstehenden PC nicht errichbar ist
das heißt zunächst mal nur, dass dein PC aus der externen Zonen nicht erreichbar ist.
Wichtig ist nun, dass deine Netzkonfiguration zu dem paßt was dein Rechner / deine Firewall als externe Zone ansieht. Normalerweise sollte das das Internet sein.

Falls Du dazu Hilfe brauchst musst Du uns aber etwas zu deiner Netzkonfig sagen.

BTW, wenn dein Rechner aus dem Internet gar nicht erreichbar sein soll, und das ist nach Stecker ziehen die zweitsicherste Einstellung, dann mach das über die Firewall und nicht über den TCP-Wrapper. Das ist deutlich unsicherer.

Noch eines: verwendest zu für den Internetzugang Router oder Modem? Falls Router, dann hat der (hoffentlich) auch eine Firewall und die solltest Du zuerst dicht machen.
 
OP
A

Anthony

Member
Ich habe jetzt mal bei www.port-scan.de ausfürhliche Tests gemacht, die alle ergeben haben, dass alle Ports geschlossen sind. Ich denke dass bedeutet nun endgültig, dass mein Server vom Internet nicht erreichbar ist, oder?


mfg Anthony
 
Hallo,

ich hätte da eine kleine Frage an den Originalposter: gibt es eine brauchbare Anleitung zur Installation von Lx-Office explizit für OpenSuse 10.2? Ich suche nämlich seit Tagen danach und finde lediglich ziemlich antiquierte Sachen...

Das würde mir sehr viel weiter helfen.

Danke und Gruß
Telefonmann
 
OP
A

Anthony

Member
Guck mal hier: http://www.lx-office.org/index.php?id=dokumentation

Ich habe die inst_suse91.pdf Anleitung benutzt. Die ist sehr ausführlich, mit vielen Bildern und gut zu verstehen.


mfg Anthony
 
Ahja - die habe ich schon gefunden, aber ich war mir nicht wirklich sicher, ob sie bei 10.2 auch brauchbar ist. Danke für die Info! ich werd's mal versuchen.

Gruß
Telefonmann
 
Oben