iptables - vymena portu a schovani skutecneho portu

[Jan Houstek]

On Thu, 25 Aug 2005, Jan Kovář wrote:
> iptables jsme nastavili takto (posilam jen relevantni radky)

No, zjevne ne, protoze pokud byste tam mel fakt jen tyto radky, tak by vam
to fungovalo. Navic jste neuvedl jeden dost podstatny detail, a to, jestli
$INET_IP je nebo neni lokalni adresa toho stroje, ktery dela popisovany
firewall (hadam ze ano, podle toho, ze pak ta filtrovaci pravidla davat do
INPUT, ale treba zrovna tohle je ta chyba).

To prenatovani portu 7001 (resp. 22 u ssh) na zavreny 9999 je tedy pekna
prasecina, to uz je snad lepsi ten DROP v nat tabulce (i kdyz jak to
udelat ciste jsem v tomto threadu jiz napsal). Navic u ssh nechapu, proc
si ty nestandardni port nebo porty nedate rovnou do konfigurace a tahate
do toho preklady portu, to je hnusne samo o sobe.

Co se tyka apache, napadaji me tyto duvody, proc vam to nefunguje

1) mate v tom firewallu jeste neco navic, co jste utajil a co to spojeni
zarizne

2) apache posloucha jinde nez na $INET_IP

3) $INET_IP je adresa nejakeho jineho stroje a filtry je potreba napsat do
FORWARD, ne INPUT

4) spojeni se normalne navaze, ale apache z nejakeho duvodu posle http
redirect (napr. kvuli chybejicimu lomitku) a novou adresu sestavi na
zaklade portu a jmena ve sve konfiguraci, nikoliv na zaklade toho, o co si
rekl klient, to dela pri UseCanonicalName On. no a browser se pak snazi
dostat na ten port, ktery umyslne zakazujete

-- Honza Houstek