Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, > TCP | Interface(Orange) | 172.16.17.1:80 > > nun > > TCP | Interface(Orange) | 172.16.17.1:443 > > Und es funktioniert nicht! Allerdings kommt nun im Log tatsächlich der > Rechner im Grünen Netz als Quelle (war vorher ja auch nicht). > Rückblickend liegen meine ganzen Schwierigkeiten wohl an meinem > transparenten Proxy. > > Jedenfalls hab ich nun die Regel > > TCP | allowednetworks | 172.16.17.1:443 > > und das tut, also so, wie es Tobias vorgeschlagen hatte. Finde ich auch > geschickt, weil man dann genau steuern kann, welche Netzwerke > funktionieren sollen. das klingt für mich logisch: https geht ncht über den Proxy: also kommt der Client direkt an. Bei http fragt der Proxy stellvertretend für den Client. LG Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo, ich verstehe ipfire wohl immer noch nicht so richtig - ich hatte ja eigentlich eine Lösung für mein Problem gefunden - nun wollte ich von http auf https umstellen, also statt TCP | Interface(Orange) | 172.16.17.1:80 nun TCP | Interface(Orange) | 172.16.17.1:443 Und es funktioniert nicht! Allerdings kommt nun im Log tatsächlich der Rechner im Grünen Netz als Quelle (war vorher ja auch nicht). Rückblickend liegen meine ganzen Schwierigkeiten wohl an meinem transparenten Proxy. Jedenfalls hab ich nun die Regel TCP | allowednetworks | 172.16.17.1:443 und das tut, also so, wie es Tobias vorgeschlagen hatte. Finde ich auch geschickt, weil man dann genau steuern kann, welche Netzwerke funktionieren sollen. Viele Grüße, Marcus Am 10.05.2016 um 10:38 schrieb T. Küchel: Hallo Marcus, ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was der Musterlösung würdig wäre. Bsp 1: (aus der Datei /var/ipfire/firewall/config) 15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes HTTPS - ORANGE cleese:443,ON,00:00,00:00,ON,Default IP,443,dnat,second sieht dann im Webinterface so aus: TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443 * Da ist ein DNAT drin auf dem roten Interface der Firewall * Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver zugreifen können. Bsp 2: hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142) 18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all may route 3142 to cleese in ORANGE - wg. apt-cacher-ng,,00:00,00:00,,AUTO,,dnat,second oder im Webinterface: TCP | Alle | 172.16.17.2:3142 * kein NAT * an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.) dran, weil Port 3142 beim Belwuerouter gesperrt ist. Bsp 3: Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP loch zum Musterlösungsserver: 20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,ON,,,cust_srvgrp,DMZtoServer,ORANGE may route DMZtoServer ports to server,ON,00:00,00:00,,AUTO,,dnat,second * dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS) TCP+UDP und 123 (NTP) UDP drin sind. * Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte Sicherheitsproblem, dass ich mir ausmalen kann. Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben? Grüße, Tobias TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer Am 10.05.2016 um 07:26 schrieb Marcus Numrich: Hallo Jörg, nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend sonst niemand hier - wieso? Wir sollten doch irgendwie alle musterlösungsmäßig unterwegs sein... Ein Sicherheitsproblem ist die Regel ja nicht, oder? Viele Grüße, Marcus Am 09.05.2016 um 10:56 schrieb Jörg Richter: Hallo Marcus, es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage vom IPFire aus - und dann natürlich vom orangen Interface. Viele Grüße Jörg Richter Marcus Numrichhat am 9. Mai 2016 um 09:12 geschrieben: Hallo zusammen, ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P Also, die Regel lautet: TCP | Interface Orange | 172.16.17.1:80 Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln sind, soweit ich sehe, nicht nötig. Gibt es da ein Sicherheits-Problem (Ich sehe keins)? Viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was der Musterlösung würdig wäre. Bsp 1: (aus der Datei /var/ipfire/firewall/config) 15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes HTTPS - ORANGE cleese:443,ON,00:00,00:00,ON,Default IP,443,dnat,second sieht dann im Webinterface so aus: TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443 * Da ist ein DNAT drin auf dem roten Interface der Firewall * Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver zugreifen können. Bsp 2: hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142) 18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all may route 3142 to cleese in ORANGE - wg. apt-cacher-ng,,00:00,00:00,,AUTO,,dnat,second oder im Webinterface: TCP | Alle | 172.16.17.2:3142 * kein NAT * an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.) dran, weil Port 3142 beim Belwuerouter gesperrt ist. Bsp 3: Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP loch zum Musterlösungsserver: 20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,ON,,,cust_srvgrp,DMZtoServer,ORANGE may route DMZtoServer ports to server,ON,00:00,00:00,,AUTO,,dnat,second * dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS) TCP+UDP und 123 (NTP) UDP drin sind. * Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte Sicherheitsproblem, dass ich mir ausmalen kann. Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben? Grüße, Tobias TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer Am 10.05.2016 um 07:26 schrieb Marcus Numrich: > Hallo Jörg, > > nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch > gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P > Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend > sonst niemand hier - wieso? Wir sollten doch irgendwie alle > musterlösungsmäßig unterwegs sein... > > Ein Sicherheitsproblem ist die Regel ja nicht, oder? > > Viele Grüße, > > Marcus > > > Am 09.05.2016 um 10:56 schrieb Jörg Richter: >> >> Hallo Marcus, >> >> >> es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy >> fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage >> vom IPFire aus - und dann natürlich vom orangen Interface. >> >> >> Viele Grüße >> >> >> Jörg Richter >> >> >>> Marcus Numrichhat am 9. Mai 2016 >>> um 09:12 geschrieben: >>> >>> Hallo zusammen, >>> >>> ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben >>> hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P >>> >>> Also, die Regel lautet: >>> >>> TCP | Interface Orange | 172.16.17.1:80 >>> >>> Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln >>> sind, soweit ich sehe, nicht nötig. >>> >>> Gibt es da ein Sicherheits-Problem (Ich sehe keins)? >>> >>> Viele Grüße, >>> >>> Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, > nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch > gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P > Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend > sonst niemand hier - wieso? Wir sollten doch irgendwie alle > musterlösungsmäßig unterwegs sein... es haben wohl nicht viele von uns Webserver in Orange stehen. Außerdem haben fast alle von uns eine Art DMZ vor dem IPFire, da das noch immer hinter dem externen Router (z.B. BelWü) ist. Da stelle ich meine Webserver rein (owncloud, moodle ..) > Ein Sicherheitsproblem ist die Regel ja nicht, oder? du hast eine Regel erschaffen, die es Grün und Blau erlaubt den Webserver in Orange zu erreichen: in der Richtung ist das gewiss kein Sicherheitsproblem. Erst wenn du einen Zugang nach innen öffnest wird es problematisch. Viele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus,es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage vom IPFire aus - und dann natürlich vom orangen Interface.Viele GrüßeJörg RichterMarcus Numrichhat am 9. Mai 2016 um 09:12 geschrieben: Hallo zusammen, ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P Also, die Regel lautet: TCP | Interface Orange | 172.16.17.1:80 Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln sind, soweit ich sehe, nicht nötig. Gibt es da ein Sicherheits-Problem (Ich sehe keins)? Viele Grüße, MarcusAm 06.05.2016 um 11:03 schrieb Tobias Kuechel:Hallo Marcus, nicht aufgeben, IPFire is a beast, kenn ich. Grade bei mir getestet (wg. subnetting): Bei mir sieht es so aus: TCP Alle Firewall(ROT):443 -> 172.16.17.2:443 Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf GRÜN beschränken sollte. und die Regel geht nach ROT, weiß aber nicht warum. Jetzt kommt der entscheidende Test: * stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün * stelle ich auf "allegruene" um, dann geht es wiederum Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält, schau mal den Screenshot an. Gr+´e, Tobias Am 05.05.2016 um 10:49 schrieb Marcus Numrich: Hallo nochmal, in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots, wenns dann immer noch nix wird, dann geb ich es auf :P Also nochmal zusammengefasst: Webserver auf 172.16.17.1 Verbindung aus dem Internet und von einem Client, der mit OpenVPN verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel). Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt ein merkwürdiger Log-Eintrag (Screenshot). Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann? Viele Grüße,H Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo zusammen, ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P Also, die Regel lautet: TCP | Interface Orange | 172.16.17.1:80 Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln sind, soweit ich sehe, nicht nötig. Gibt es da ein Sicherheits-Problem (Ich sehe keins)? Viele Grüße, Marcus Am 06.05.2016 um 11:03 schrieb Tobias Kuechel: Hallo Marcus, nicht aufgeben, IPFire is a beast, kenn ich. Grade bei mir getestet (wg. subnetting): Bei mir sieht es so aus: TCP Alle Firewall(ROT):443 -> 172.16.17.2:443 Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf GRÜN beschränken sollte. und die Regel geht nach ROT, weiß aber nicht warum. Jetzt kommt der entscheidende Test: * stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün * stelle ich auf "allegruene" um, dann geht es wiederum Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält, schau mal den Screenshot an. Gr+´e, Tobias Am 05.05.2016 um 10:49 schrieb Marcus Numrich: Hallo nochmal, in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots, wenns dann immer noch nix wird, dann geb ich es auf :P Also nochmal zusammengefasst: Webserver auf 172.16.17.1 Verbindung aus dem Internet und von einem Client, der mit OpenVPN verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel). Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt ein merkwürdiger Log-Eintrag (Screenshot). Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann? Viele Grüße,H Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, nicht aufgeben, IPFire is a beast, kenn ich. Grade bei mir getestet (wg. subnetting): Bei mir sieht es so aus: TCP Alle Firewall(ROT):443 -> 172.16.17.2:443 Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf GRÜN beschränken sollte. und die Regel geht nach ROT, weiß aber nicht warum. Jetzt kommt der entscheidende Test: * stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün * stelle ich auf "allegruene" um, dann geht es wiederum Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält, schau mal den Screenshot an. Gr+´e, Tobias Am 05.05.2016 um 10:49 schrieb Marcus Numrich: > Hallo nochmal, > > in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots, > wenns dann immer noch nix wird, dann geb ich es auf :P > > Also nochmal zusammengefasst: > > Webserver auf 172.16.17.1 > > Verbindung aus dem Internet und von einem Client, der mit OpenVPN > verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel). > > Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt > ein merkwürdiger Log-Eintrag (Screenshot). > > Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und > der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann? > > Viele Grüße,H > > Marcus > > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, Ich vermute, dass der Proxy auf dem IPFire zuschlägt und die Anfrage abfängt. Anschließend stellt der Proxy die Anfrage selbst, deshalb die Quelladresse ...254. Richte doch mal eine Regel ein, dass 172.16.17.254 auf 172.16.17.1 zugreifen darf (Port 80). Zum Testen der Hypothese kannst Du auch vorübergehend den Proxy deaktivieren - dann sollte es auch ohne die neue Regel gehen. Viele Grüße Jörg Richter > Am 05.05.2016 um 12:20 schrieb Marcus Numrich >: > > Hallo, > > hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es sofort. > > Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum sagt > er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port um die > 5? Dieser dort angegebene Port ändert sich außerdem ständig, liegt aber > immer etwa in dem Bereich. > > Viele Grüße, > > Marcus > >> Am 05.05.2016 um 11:38 schrieb Steffen Auer: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> Hallo Marcus, >> >>> Am 05.05.2016 um 10:49 schrieb Marcus Numrich: >>> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft >>> und der mir klipp und klar sagen kann, wie man den aus grün >>> ansprechen kann? >> Mach doch die Regel mal offener. >> Lass also mal beim Ziel die Portangabe weg. >> >> Also Quelle grün (vielleicht auch mal "alle" statt "TCP") >> Ziel: 172.16.17.1 (ohne Port) >> kein NAT >> >> Viele Grüße >> Steffen >> >> - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net >> >> Mein System: >> - - virtualisiert mit Proxmox 3.4 >> - - linuxmuster.net 6.1 >> - - IPFire 2.17 Core 99 >> - - Linbo 2.2.16-0 >> - - Ubuntu 12.04-Client >> - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio >> - - Moodle extern (Belwue) per ldaps angebunden >> >> Note: >> No Microsoft programs were used in the creation or distribution of >> this message. If you are using a Microsoft program to view this >> message, be forewarned that I am not responsible for any harm you may >> encounter as a result. >> - >> Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur >> Überprüfung der Signatur ist hier hinterlegt: >> pool.sks-keyservers.net >> - >> -BEGIN PGP SIGNATURE- >> Version: GnuPG v2.0.22 (GNU/Linux) >> >> iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx >> xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr >> AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q >> BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24 >> nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF >> ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs= >> =WSPN >> -END PGP SIGNATURE- >> ___ >> linuxmuster-user mailing list >> linuxmuster-user@lists.linuxmuster.net >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hi :) > Am 05.05.2016 um 12:20 schrieb Marcus Numrich >: > > Hallo, > > hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es sofort. > > Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum sagt > er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port um die > 5? Dieser dort angegebene Port ändert sich außerdem ständig, liegt aber > immer etwa in dem Bereich. Das ist der Quellport. Den bestimmt der Client. Er ist auch (i.d.R.) nicht vorhersehbar und deshalb darf in deiner FW-Regel kein Quellport angegeben sein in diesem Fall. LG Jesko > > Viele Grüße, > > Marcus > >> Am 05.05.2016 um 11:38 schrieb Steffen Auer: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> Hallo Marcus, >> >>> Am 05.05.2016 um 10:49 schrieb Marcus Numrich: >>> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft >>> und der mir klipp und klar sagen kann, wie man den aus grün >>> ansprechen kann? >> Mach doch die Regel mal offener. >> Lass also mal beim Ziel die Portangabe weg. >> >> Also Quelle grün (vielleicht auch mal "alle" statt "TCP") >> Ziel: 172.16.17.1 (ohne Port) >> kein NAT >> >> Viele Grüße >> Steffen >> >> - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net >> >> Mein System: >> - - virtualisiert mit Proxmox 3.4 >> - - linuxmuster.net 6.1 >> - - IPFire 2.17 Core 99 >> - - Linbo 2.2.16-0 >> - - Ubuntu 12.04-Client >> - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio >> - - Moodle extern (Belwue) per ldaps angebunden >> >> Note: >> No Microsoft programs were used in the creation or distribution of >> this message. If you are using a Microsoft program to view this >> message, be forewarned that I am not responsible for any harm you may >> encounter as a result. >> - >> Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur >> Überprüfung der Signatur ist hier hinterlegt: >> pool.sks-keyservers.net >> - >> -BEGIN PGP SIGNATURE- >> Version: GnuPG v2.0.22 (GNU/Linux) >> >> iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx >> xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr >> AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q >> BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24 >> nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF >> ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs= >> =WSPN >> -END PGP SIGNATURE- >> ___ >> linuxmuster-user mailing list >> linuxmuster-user@lists.linuxmuster.net >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo, hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es sofort. Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum sagt er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port um die 5? Dieser dort angegebene Port ändert sich außerdem ständig, liegt aber immer etwa in dem Bereich. Viele Grüße, Marcus Am 05.05.2016 um 11:38 schrieb Steffen Auer: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Marcus, Am 05.05.2016 um 10:49 schrieb Marcus Numrich: Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann? Mach doch die Regel mal offener. Lass also mal beim Ziel die Portangabe weg. Also Quelle grün (vielleicht auch mal "alle" statt "TCP") Ziel: 172.16.17.1 (ohne Port) kein NAT Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24 nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs= =WSPN -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Marcus, Am 05.05.2016 um 10:49 schrieb Marcus Numrich: > Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft > und der mir klipp und klar sagen kann, wie man den aus grün > ansprechen kann? Mach doch die Regel mal offener. Lass also mal beim Ziel die Portangabe weg. Also Quelle grün (vielleicht auch mal "alle" statt "TCP") Ziel: 172.16.17.1 (ohne Port) kein NAT Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24 nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs= =WSPN -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo nochmal, in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots, wenns dann immer noch nix wird, dann geb ich es auf :P Also nochmal zusammengefasst: Webserver auf 172.16.17.1 Verbindung aus dem Internet und von einem Client, der mit OpenVPN verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel). Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt ein merkwürdiger Log-Eintrag (Screenshot). Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann? Viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, > Spontane Idee: Kann das was mit unseren Subnets zu tun haben? wenn du von einem CLient im subnet Netz eine IP aufrufst, die nicht in seinem subnet liegt, so geht die Anfrage an das Gateway: also den L3 Router mit seiner 10.x.y.254 als Gateway Adresse. Er routet in das 10.16.1.x Netz. Ist die Adresse auch nicht in diesem Netz (wie deine gewünschte 172er ) so geht es in dem Netz an den Router: das ist der IPFire: und damit ist es ein Firewall Problem. Du kannst das testen, indem du den L3 Router umgehst: einfach indem du die Anfrage im Servernetz stellst: also von einem Client in 10.16.1.x aus z.B. der Server. So ist zumindest meine Vorstellung der ganzen Sache: und damit bestimmt nicht der Weisheit letzter Schluss. VIele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo, danke für das viele Input, aber von ROT (aus dem Internet) und per OpenVPN (auch aus BLAU / WLAN) ist der Webserver ja zu erreichen - ich komme aber nicht aus einem Rechner aus dem grünen Netz (Intern an der Schule) oder dem blauen Netz (WLAN ohne OpenVPN) auf den Webserver! Ich habe gerade testweise mal als Quelle 'Alle' eingestellt (nicht grün). Dann tut es! Aus irgendwelchen Gründen lässt er mich also von einem Rechner aus dem grünen Netz nur dann auf den Webserver, wenn nicht ausschließlich das grüne Netz als Quelle angegeben ist. Spontane Idee: Kann das was mit unseren Subnets zu tun haben? Viele Grüße, Marcus Am 04.05.2016 um 09:25 schrieb Sven Röhrauer: Hallo Willi, Am 04.05.2016 um 08:41 schrieb Platzer, Willi [Lehrer]: Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT eingeschaltet) immer zwei Wege konfiguriert werden müssen z.B: Rot -> fw-Regel -> gelb gelb -> fw-regel -> rot das stimmt meiner Meinung nach nicht. Die erste Regel Rot -> fw-Regel -> gelb (orange) ist notwendig. Sie ermöglicht das Erreichen des Webservers. Die Antwort des Webservers wird dann ohne Regel durchgelassen. Die zweite Regel ist für den normalen Betrieb nicht notwendig. gelb (orange) -> fw-regel -> rot Sie wird nur benötigt, wenn der Webservers selbst eine Anfrage ins Internet initiiert, z.B. wenn er sich Updates holen soll. Grüße, Sven ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Willi, Am 04.05.2016 um 08:41 schrieb Platzer, Willi [Lehrer]: > Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT > eingeschaltet) immer zwei Wege konfiguriert werden müssen > z.B: > Rot -> fw-Regel -> gelb > gelb -> fw-regel -> rot das stimmt meiner Meinung nach nicht. Die erste Regel Rot -> fw-Regel -> gelb (orange) ist notwendig. Sie ermöglicht das Erreichen des Webservers. Die Antwort des Webservers wird dann ohne Regel durchgelassen. Die zweite Regel ist für den normalen Betrieb nicht notwendig. gelb (orange) -> fw-regel -> rot Sie wird nur benötigt, wenn der Webservers selbst eine Anfrage ins Internet initiiert, z.B. wenn er sich Updates holen soll. Grüße, Sven signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, mit Bezug zur Nachricht vom 04.05.2016, 08:17: > >> ich seh grad im Firewall-Log etwas Merkwürdiges: >> >> 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 >> 5417980(HTTP) : >> > > Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine > Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet? SORRY, ich war etwas verwirrt. das 172.16. er netz habe ich in Blau verortet. Ich habe meine Netz-IPs anders verteilt 172.16 ist bei mir immer Bau für gelb habe ich die 192.168.0.0/24 oder 10.100.1.0/16 und höher ist Gelb Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT eingeschaltet) immer zwei Wege konfiguriert werden müssen z.B: Rot -> fw-Regel -> gelb gelb -> fw-regel -> rot Denn die Anfrage-Pakete gehen hinein und es geht Antwort-Pakete hinaus. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, danke für die Nachricht vom 04.05.2016, 08:17: > ich seh grad im Firewall-Log etwas Merkwürdiges: > > 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 > 5417980(HTTP) : > Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo nochmal, ich seh grad im Firewall-Log etwas Merkwürdiges: 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 5417980(HTTP) : Dort, wo also eigentlich das Ursprungs-Interface liegen müsste, kommt nix, und eine MAC wird auch nicht zugeordnet. Viele Grüße, Marcus Am 03.05.2016 um 16:27 schrieb Sven Röhrauer: Hallo Marcus, um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel angelegt (hier für Port 80, für Port 443 eine analoge Regel) Quelle: Standard-Netzwerke: GRÜN NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch unten) Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1 Protokoll: TCP / Zielport 80 Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des Webservers Grüße, Sven Am 03.05.2016 um 14:05 schrieb Marcus Numrich: Hallo zusammen, ich habe leider immer noch ein Problem, unseren Webserver von Grün oder Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings schon. Meine Firewallregel, die funktioniert: TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80 -> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080) auf Webserver (umgeleitet auf Port 80). Was ich jetzt noch versucht habe: AlleGRÜN ->Firewall (GREEN):8080 -> 172.16.17.1:80 bzw. AlleGRÜN->172.16.17.1:80 klappt aber beides nicht. Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix - andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag - das verwirrt mich nun doch :P Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft? Vielen Dank und viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Sven, was genau meinst du mit 'externe IP des Webservers?' Ich will doch von Grün nach Orange, da hat unsere externe IP doch nix mit zu schaffen? Und ich habe doch ein Firewall-Interface zum Webserver, eben Orange - ich habe diese Regel angelegt: TCP: Quelle: Grün -> NAT Firewall-(Orange) -> 172.16.17.1 Zielport 80 Damit erhalte ich aber ein Connection refused. Nochmal die Nachfrage: Funktioniert die oben beschriebene Regel bei jemanden? Wenn ja, dann liegt der Fehler irgendwo anders, vielleicht muss ich am virtuellen Link der VMWare noch was drehen. Vielen Dank und viele Grüße, Marcus Am 03.05.2016 um 16:27 schrieb Sven Röhrauer: Hallo Marcus, um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel angelegt (hier für Port 80, für Port 443 eine analoge Regel) Quelle: Standard-Netzwerke: GRÜN NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch unten) Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1 Protokoll: TCP / Zielport 80 Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des Webservers Grüße, Sven Am 03.05.2016 um 14:05 schrieb Marcus Numrich: Hallo zusammen, ich habe leider immer noch ein Problem, unseren Webserver von Grün oder Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings schon. Meine Firewallregel, die funktioniert: TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80 -> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080) auf Webserver (umgeleitet auf Port 80). Was ich jetzt noch versucht habe: AlleGRÜN ->Firewall (GREEN):8080 -> 172.16.17.1:80 bzw. AlleGRÜN->172.16.17.1:80 klappt aber beides nicht. Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix - andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag - das verwirrt mich nun doch :P Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft? Vielen Dank und viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo, Am 03.05.2016 um 16:27 schrieb Sven Röhrauer: > um einen Webserver aus grün erreichbar zu machen habe ich folgende > Regel angelegt (hier für Port 80, für Port 443 eine analoge Regel) Soll der Webserver nur eine Webseite anzeigen? Wenn da Moodle, Owncloud oder andere Dienste mit Login drauf laufen (sollen), würde ich dringend davon abraten, den Webserver überhaupt nur per http (Port 80) erreichbar zu machen. Mein Webserver ist ausschließlich per https (Port 443) erreichbar. Viele Grüße Steffen - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net Mein System: - - virtualisiert mit Proxmox 3.4 - - linuxmuster.net 6.1 - - IPFire 2.17 Core 99 - - Linbo 2.2.16-0 - - Ubuntu 12.04-Client - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio - - Moodle extern (Belwue) per ldaps angebunden Note: No Microsoft programs were used in the creation or distribution of this message. If you are using a Microsoft program to view this message, be forewarned that I am not responsible for any harm you may encounter as a result. - Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur Überprüfung der Signatur ist hier hinterlegt: pool.sks-keyservers.net - -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXKOoXAAoJEBhc6lDKYVtJJS4IAIaUwMdP9v2IBOR7YlkHX+2p asKr1YG/G6Taa8FG5Yp5Xyz4BfBkReTTgRG5aKNg2mhEPMeH+K6qu/nRMgjpo057 hCQd7z7By4GWaY/dZBhdgWxFqkXYqj4rThbaPaQsytGH8rmOosRqO0GWiS3ldctT 0Y/dhe9XbgUHzyONlhSSNaQp6ZgM0X+Cu9G1xSRLyDL+B0M8eLE9hA8Ujx9F5z7W cZ+9aqveBbEROzSnLRDvRXqWGJ2w1MKIRMYX4aDsuX9a9PjQGASbf0crmoVpJrPZ EtmOdKqIVLvzCTe477XDzvbiH5gRciCM5/K1TaRBCYMe8GbeQvNl85xlrLOe3p4= =AoZ7 -END PGP SIGNATURE- ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel angelegt (hier für Port 80, für Port 443 eine analoge Regel) Quelle: Standard-Netzwerke: GRÜN NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch unten) Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1 Protokoll: TCP / Zielport 80 Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des Webservers Grüße, Sven Am 03.05.2016 um 14:05 schrieb Marcus Numrich: > Hallo zusammen, > > ich habe leider immer noch ein Problem, unseren Webserver von Grün oder > Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings > schon. Meine Firewallregel, die funktioniert: > > TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80 > > -> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080) > auf Webserver (umgeleitet auf Port 80). > > > Was ich jetzt noch versucht habe: > > AlleGRÜN ->Firewall (GREEN):8080 -> > 172.16.17.1:80 > > bzw. > > AlleGRÜN->172.16.17.1:80 > > klappt aber beides nicht. > > Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix > - andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit > der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag - > das verwirrt mich nun doch :P > > Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von > Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft? > > Vielen Dank und viele Grüße, > > Marcus > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user