Markus Heinze schrieb:
Moin moin, lists schrieb:
Hi,
habe nen Server (OpenSuSE 11.0) in einer DMZ. Meine Frage lautet nun ist es moeglich bestimmte ports nur lokal zugaenglich zu machen (Programm kann man leider nicht auf localhost bescharaenken) ?
Beschäftige dich mal mit iptables, statt AppArmor. Mit AppArmor kannst du lediglich den Zugriff auf Dateien/Verzeichnisse auf Kernelebene restriktieren, nicht mehr und nicht weniger, das hilft dir bei Port's net weiter. Generell solltest du per default alles verbieten was aus dem 'bösen, weiten Netz' kommt. Dies kannst du sehr schnell vie 'default policy' im Iptables einstellen. Dann öffnest Du sukzessive die Ports für diejenigen (Clients,Subnetze) die darauf zugreifen sollen.
Kurzes Beispiel, nicht aktivieren wenn du per Remote den Rechner verwaltest sonst sägst Du dir den Ast ab wenn was schief läuft ;)
Standardregeln setzten
iptables --policy INPUT DROP iptables --policy FORWARD DROP
jetzt bestimmte Sachen öffnen
// unserem loopbackdevice vertrauen wir einfach mal, es darf alles iptables -A INPUT -p ALL -i lo -j ACCEPT
// Verbindungen die bereits aufgebaut wurden bzw. mit anderen in Relation stehen un demzufolge den Filter schonmal passiert haben vertrauen wir auch iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
// jetzt öffnen wird unserem lokalen Subnetz (192.168.168.0/24) den SSH Port 22 iptables -A INPUT -p tcp --source 192.168.168.0/24 --dport 22 -j ACCEPT
so jetzt kann unser localhost (loobackdevice lo) auf alle Dienste zugreifen und alle Clients aus dem Subnetz 192.168.168.0/24 auf den SSH Dienst für weiter Ports einfach die o.g. Chain nach --dport anpassen und hinzufügen, das ganze verpackst du in ein nettes Bootscript und alles sollte funktionieren.
mfg Max
Hallo Max, vielen dank, werde das ganze wohl mit dieser Loesung machen. Neuer Router mit echter DMZ kommt erstmal nicht in Frage. Gruesse. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org