iptables - vymena portu a schovani skutecneho portu

Jan Kovar jan-kovar na meggle.cz
Pátek Srpen 26 06:31:53 CEST 2005


Jan Houstek napsal(a):

>On Thu, 25 Aug 2005, Jan Kovář wrote:
>  
>
>>iptables jsme nastavili takto (posilam jen relevantni radky)
>>    
>>
>
>No, zjevne ne, protoze pokud byste tam mel fakt jen tyto radky, tak by vam
>to fungovalo. Navic jste neuvedl jeden dost podstatny detail, a to, jestli
>$INET_IP je nebo neni lokalni adresa toho stroje, ktery dela popisovany
>firewall (hadam ze ano, podle toho, ze pak ta filtrovaci pravidla davat do
>INPUT, ale treba zrovna tohle je ta chyba).
>  
>
Ne, $INET_IP je venkovni adresa. Ten stroj slouzi jako firewall, pro 
dalsi dva stroje za nim, ale ten web bezi primo na nem. Ja jsem nemeli 
cilovou adresu, jen jsem chtel zmenit port, na kterem ta sluzba skutecne 
posloucha. Proto je tam ten Inpu. Ale je to zajimava myslenka s tim 
forwardem. Kdyz tam dam vnitrni adresu a pravidlo do FORWARD .... Musim 
zkusit.

>To prenatovani portu 7001 (resp. 22 u ssh) na zavreny 9999 je tedy pekna
>prasecina, to uz je snad lepsi ten DROP v nat tabulce (i kdyz jak to
>udelat ciste jsem v tomto threadu jiz napsal). Navic u ssh nechapu, proc
>si ty nestandardni port nebo porty nedate rovnou do konfigurace a tahate
>do toho preklady portu, to je hnusne samo o sobe.
>  
>

Je, to nebyl muj napad.

>Co se tyka apache, napadaji me tyto duvody, proc vam to nefunguje
>
>1) mate v tom firewallu jeste neco navic, co jste utajil a co to spojeni
>zarizne
>  
>
To si myslim, zenemam, kdyz ssh funguje

>2) apache posloucha jinde nez na $INET_IP
>  
>
Vyborny postreh, na to se zeptam. Ja totiz funguju podobne jako vy z 
toho, co mi admin toho stroje rekne. Nemam tam pristup. Ale logicky, 
kdyz ssh funguje a tohle ne ....

>3) $INET_IP je adresa nejakeho jineho stroje a filtry je potreba napsat do
>FORWARD, ne INPUT
>  
>
Ne, neni. Myslim, ze tady mam INPUT dobre.

>4) spojeni se normalne navaze, ale apache z nejakeho duvodu posle http
>redirect (napr. kvuli chybejicimu lomitku) a novou adresu sestavi na
>zaklade portu a jmena ve sve konfiguraci, nikoliv na zaklade toho, o co si
>rekl klient, to dela pri UseCanonicalName On. no a browser se pak snazi
>dostat na ten port, ktery umyslne zakazujete
>  
>

Tam neni Apache. Ta firma ma z nejakych me neznamych duvodu napsany 
vlastni web v jave. Ma to byt nejaky masivni inet shop. Nevim, ke me to 
prislo zpusobem, kamarad poprosil kamarada.....

TNX



Další informace o konferenci Linux