Eric Scheen schrieb:
Arno Lehmann schrieb:
Hi,
20.09.2007 08:57,, Eric Scheen wrote::
[...] Die Groupware ist auf einem Rechner installiert der im 192.168.1.0er Netz ist - ein zweites Interface der Maschine ist über DSL am I-Net (dynamische IP). Die Maschine arbeitet auch als Router für die anderen Rechner im LAN (Win XP), als DHCP Server und Samba läuft - DNS für das LAN ist nicht konfiguriert.
vor lauter Schreck vergessen: OpenSuse 10.1 Kernel 2.6.16.27
weniger wichtig...
Die Groupware kann per Webinterface von den Rechnern aus dem LAN erreicht werden (so auch gewollt) von extern sollte dies nicht möglich sein - in der Firewall ist kein Port freigegeben und ein Portscan bestätigt mir das auch.
Schonmal sehr gut.
puhhh apache2-config .... /etc/apache2/listen.conf ! da kannst du ihm sagen, auf welchen IPs er zu lauschen hat ! stell einfach 192.168.x.y und 127.0.01 ein ...Ruhe ist!
Nachdem ich mal spaßeshalber die aktuell zugewiesene IP Adresse der I-Net Schnittstelle eingegeben habe meldete sich zu meinem erstaunen das Webinterface der Groupware! Nach einem ersten Schreck und einem Blick in das Zugangsprotokoll musste ich feststellen das der Zugang von einer internen IP und nicht von extern erfolgte.
Frage ist nun: Wer oder was biegt mir meine Verbindung (durchaus passend) um?
Die Routingfunktionen.
Die Anfrage geht ja an <extIP> und wird als erstes an den Router geschickt, der nun zufällig auch der den Dienst bedienende Host ist.
Sie kommt am internen Interface an. Es wird festgestellt, das geroutet werden muss. Als nächstes wird festgestellt das das Ziel-Interface lokal vorhanden ist, also werden die Daten intern an den IP-Stack weitergegeben der für die <extIP> zuständig ist. Und da kommen sie quasi innerhalb der Firewall an.
Also die Maschine weiß mein Interface dsl0 hat die IP 87.189.210.120 und routet wenn von intern eine Anfrage dahin geht auf dsl0 um - wenn ich das jetzt richtig verstehe.
....aber...
Auf den Hinweis von Fred Ockert habe ich mir mal die Ausgabe von route -n angesehen
Destination Gateway Genmask Flags Metric Ref Use Iface 217.0.117.16 0.0.0.0 255.255.255.255 UH 0 0 0 dsl0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 217.0.117.16 0.0.0.0 UG 0 0 0 dsl0
nur taucht da zumindest nicht meine externe IP auf - müsste dsl0 nicht diese haben?
wenn du mit ifconfig mal schaust ... vermutlich hat dsl0 87.189.210.120 als IP ... was zu Fuchs ist 217.0.117.16 ??? das ist vermutlich deine DSL-IP .... woher kommt 87.189.210.120 ??? ... der ist do woanders... und was macht das 10.er Netz da ? sooo viele Teilnehmer ??... da nimmt man doch ein Class-C Netz ( 192.168.y.x )
und noch ein traceroute 87.189.210.120 hinterher
traceroute to 87.189.210.120 (87.189.210.120), 30 hops max, 40 byte packets 1 p57B3FA66.dip.t-dialin.net (87.189.210.120) 0.000 ms 0.000 ms 0.000 ms ah ja... wie geschrieben ... ifconfig sagt dir, wei deine Interfaces "heissen" ... Namensauflösung mit dig, host oder nslookup ggfs. ausprobieren
host egroupwareserver ..oder wie auch immer der heisst...
d.h. das ganze bleibt im Haus, oder?
jawoll - er zeigt auf dein Interface .. geht nix nach aussen..
Das ganze wird sogar verständlicher wenn man das ISO-Schichtenmodell kennt und sich überlegt, zwischen welchen Schichten die Firewall arbeiten kann. Aber das hier auszuführen würde wohl eine etwas längere Mail bedeuten, und ich hab' gar keine Zeit...
...ist mir als Telefoner prinzipiell bekannt - darum würde ein Schubs in die richtige Richtung vermutlich reichen ;-)
na ja.. mir wäre Router + Firewall ausserhalb dieser Maschine doch lieber... so wirds etwas Fummelei. Im einfachsten Fall den eGroupware-Apachen auf einen anderen Port setzen (listen.conf) und diesen weder rein- noch rauslassen in der Firewall ! musst dann eben http://maschine:port/egroupware/login.... aufrufen! die Syntax ist nicht ganz o.k. .. deswegen die Punkte gehen tut das dann auch so ... meinetwegen Port 81 oder 8081 .. und diesen kannst du dann in der Firewall zumachen (sowohl rein als auch rauszu...) Fred Nein - keine richtigösung ..nur angedeutete Idee... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org