Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, Am 16.03.2016 um 08:00 schrieb Marcus Numrich: Hallo, ich habe gerade auf unserem ESXi nachgeschaut, irgendwie hatte ich in Erinnerung, dass da kein Platz mehr sei, aber dem ist nicht so. 500 GB sollten für nen Webserver reichen ;) Zur Vorgehensweise: 1.) Ich installiere eine virtuelle Maschine - Ubuntu-Server? Das ist egal - aber warum nicht? Dann muss man sich nicht noch an ein weiteres Serversystem gewöhnen. Und es gibt LTS, man hat also lange seine Ruhe. Sinnvollerweise nehme ich da gleich die Version 16.04, sobald die raus ist? 2.) Die virtuellen Netzwerkkarten kann ich ja analog zum coova-Portal einrichten, nur eben alles für Orange, nicht für Blau. Genau. 3.) Auf der Maschine installiere ich TomCat und mysql (wenn nicht schon vorhanden) und dann WebUntis. Apache etc. ist natürlich auch erforderlich. 4.) Firewallregel 1: von GRÜN nach Orange (Datenexport aus Untis & Nutzung von WebUntis durch Lehrkräfte im grünen Netz) 5.) Firewallregel 2: Von Rot nach Orange (Nutzung von extern), FRAGE: Wenn WebUntis auf dem Port 8080 horcht, stelle ich die Regel dann so ein ROT:443 -> Forward nach -> Orange 8080? Ich will ja nur verschlüsselte Anfrage zulassen. Was mache ich, wenn ich dann mal verschlüsselte Verbindungen auf anderen Ports aufbauen will? Ich würde sowohl von grün als auch von rot 8080 -> 8080 nehmen. Man muss dann einfach (auf der Schulhomepage etc.) den Link entsprechend setzen. So hast Du 443 noch frei. Habe ich da irgendwo einen Denkfehler? Danke fürs Mitdenken :) Vielleicht den FQDN und die die SSL-Zertifikate? Wenn Du denselben FQDN verwendest wie für den Server, dann kannst Du das Zertifikat des Servers verwenden. Dann wird es aber mit dem Zugriff aus grün etwas trickreich. Wenn Du einen eigenen FQDN verwendest, dann kannst Du ein eigenes Zertifikat nehmen und hast aus grün heraus keine Probleme. Dafür musst Du aber einen offiziellen DNS-Eintrag setzen können. Wie seid Ihr denn angebunden, und unter welcher seid Ihr Domäne erreichbar? Viele Grüße Jörg ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo, ich habe gerade auf unserem ESXi nachgeschaut, irgendwie hatte ich in Erinnerung, dass da kein Platz mehr sei, aber dem ist nicht so. 500 GB sollten für nen Webserver reichen ;) Zur Vorgehensweise: 1.) Ich installiere eine virtuelle Maschine - Ubuntu-Server? Sinnvollerweise nehme ich da gleich die Version 16.04, sobald die raus ist? 2.) Die virtuellen Netzwerkkarten kann ich ja analog zum coova-Portal einrichten, nur eben alles für Orange, nicht für Blau. 3.) Auf der Maschine installiere ich TomCat und mysql (wenn nicht schon vorhanden) und dann WebUntis. 4.) Firewallregel 1: von GRÜN nach Orange (Datenexport aus Untis & Nutzung von WebUntis durch Lehrkräfte im grünen Netz) 5.) Firewallregel 2: Von Rot nach Orange (Nutzung von extern), FRAGE: Wenn WebUntis auf dem Port 8080 horcht, stelle ich die Regel dann so ein ROT:443 -> Forward nach -> Orange 8080? Ich will ja nur verschlüsselte Anfrage zulassen. Was mache ich, wenn ich dann mal verschlüsselte Verbindungen auf anderen Ports aufbauen will? Habe ich da irgendwo einen Denkfehler? Danke fürs Mitdenken :) Viele Grüße, Marcus Am 14.03.2016 um 17:37 schrieb Platzer, Willi [Lehrer]: Hallo Marcus, Bezug Nachricht vom 14.03.2016, 09:05: ... Aber ssh läuft doch auch per Portforwarding? Ist das dann nicht auch tendenziell unsicher? Ja, aber dass kann (muss) man auch "etwas" absichern, der port muss erst mal gefunden werden :-). Dann kann man auch a) im ipfire nur noch bestimmte IP-Adressen für die Weiterleitung zulassen (wenn man feste IPs für den Zugang nutzt) sonst zumindest nur IPs aus Deutschland zulassen. (Ich hatte noch keinen portscann aus de) b) fail2ban auf dem Schulserver installieren und für ssh scharf stellen (Ich sperre die grüne IP vom ipfire nach 3 erfolglose Versuchen für 10 Minuten) Das verhindert/verlangsamt das Austesten von Zugängen. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, Bezug Nachricht vom 14.03.2016, 09:05: > ... Aber ssh läuft doch auch per Portforwarding? Ist das dann nicht auch > tendenziell unsicher? Ja, aber dass kann (muss) man auch "etwas" absichern, der port muss erst mal gefunden werden :-). Dann kann man auch a) im ipfire nur noch bestimmte IP-Adressen für die Weiterleitung zulassen (wenn man feste IPs für den Zugang nutzt) sonst zumindest nur IPs aus Deutschland zulassen. (Ich hatte noch keinen portscann aus de) b) fail2ban auf dem Schulserver installieren und für ssh scharf stellen (Ich sperre die grüne IP vom ipfire nach 3 erfolglose Versuchen für 10 Minuten) Das verhindert/verlangsamt das Austesten von Zugängen. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, > Noch eine Frage: Was wäre denn, wenn ich den WebServer auf dem > coova-Portal (also im blauen Netz) laufen lasse? Die virtuelle Maschine > gäbe es wenigstens schon, das wäre etwas weniger Aufwand. auch davon würde ich abraten. Der coova ist aus dem WLAN eher angreifbar und das ist (auch Nachts) möglicherweise von außerhalb der Schule erreichbar. Außerdem würdest du dann eine Weiterleitung von ROT in dein WLAN Netz machen: sollte man auch nicht machen. Genau für deinen Fall: ein von extern erreichbarer Webserver, ist die DMZ gedacht. Ein Ubuntu Server in der DMZ installieren benötigt 2 GB Speicherplatz und eine Stunde Arbeit .. Das DMZ Netzwerk muss j anur virtuell existieren: eine echte Netzwerkkarte wird also nciht benötigt. Viele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo, hmm, ich glaube, ich hab mich nicht ganz deutlich ausgedrückt: WebUntis läuft als TomCat-Anwendung auf dem Webserver - d.h. es spricht nur auf dem Port 8080 an. WebUntis als Anwendung hat keine eigene IP oder so. Also kann ich doch nicht den Port 443 nutzen, um es von außen aufzurufen? Ich könnte höchstens irgendeinen hohen Port nehmen, den öffnen und dann auf Grün:8080 umleiten? Noch eine Frage: Was wäre denn, wenn ich den WebServer auf dem coova-Portal (also im blauen Netz) laufen lasse? Die virtuelle Maschine gäbe es wenigstens schon, das wäre etwas weniger Aufwand. Nochmals vielen Dank an alle! Viele Grüße, Marcus Am 14.03.2016 um 09:24 schrieb Holger Baumhof: Hallo Marcus, Sehe ich das richtig, dass es ziemlich verschiedene Meinungen und Umsetzungen gibt? Einige haben einfach eine Port-Weiterleitung auf den grünen Server eingerichtet, einige andere würden so etwas grundsätzlich nur auf einem Webserver in der DMZ laufen lassen? ich gehöre auch zu der DMZ Fraktion. Ich bin etwas unsicher - einerseits habe ich kein Interesse, jetzt die ganze Installation von WebUntis auf einem neuen Server durchzuführen, mit allem, was dann dazugehört, damit unsere Kollegen es auch noch aus dem grünen Netz nutzen können. Aber ich bin zu wenig kompetent in Sachen Netzabsicherung... ich kann verstehen, dass du es nicht nochmal machen willst. Und die Weiterleitung am Ende, damit der Server auch aus grün erreichbar ist, ist auch nicht ohne. Dazu kommt, dass du auch Pinholes machen mußt, damit der Server in der DMZ den LDAP erreicht. Trotzdem: mach es gleich richtig: better safe than sorry. Aber ssh läuft doch auch per Portforwarding? Ist das dann nicht auch tendenziell unsicher? .. da hast du ein falsches Bild. Zuerst mal wird ssh über einen ssh key abgesichert. Und selbst, wenn du das nciht machst, kann man ssh selbst kaum angreifen: es gehen erstmal nur brute Force attacken auf dein Passwort. Ganz anders ist das bei einem Webserver der von außen erreichbar ist. Wenn der auch noch php verwendet ist er in aller Regel noch anfälliger für Angriffe: auch ohne kentnis von Passwörtern. Solche Dienste würde ich mir nie auf den Server holen: schon gar nicht von einem kleinen Anbieter wie Untis die nicht mal OpenSource erschaffen. Es gibt also keine große Community die da in die Quellen schaut. Klar schützt das auch nicht immer: aber da ist besser als nix. Was du machen könntest wäre, dass du in das Documentroot von WebUntis eine .htaccessdatei legst: dann ist schon da der Zugriff gesperrt ohne Passworteingabe. Aber: man muss sich eben zweimal einloggen: einmal zum Aufrufen der Seite und einmal auf der Seite. Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen? das brauchst du nicht unbedingt: wenn du nur 443 weiterleitest, dann geht sowiso nur https. Aus dem Grünen Netz geht noch weiterhin http: aber das sehe ich nicht als so schlimm an. Ansonsten: du kannst das auch in der /etc/apache/sites-availible/ Datei von untis regeln: dass da eben nur 443 geht. Also: ein verschieben in die DMZ wird weh tun, aber es lohnt sich sicherheitstechnisch. Viele Grüße Holger ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, > Sehe ich das richtig, dass es ziemlich verschiedene Meinungen und > Umsetzungen gibt? Einige haben einfach eine Port-Weiterleitung auf den > grünen Server eingerichtet, einige andere würden so etwas grundsätzlich > nur auf einem Webserver in der DMZ laufen lassen? ich gehöre auch zu der DMZ Fraktion. > Ich bin etwas unsicher - einerseits habe ich kein Interesse, jetzt die > ganze Installation von WebUntis auf einem neuen Server durchzuführen, > mit allem, was dann dazugehört, damit unsere Kollegen es auch noch aus > dem grünen Netz nutzen können. Aber ich bin zu wenig kompetent in Sachen > Netzabsicherung... ich kann verstehen, dass du es nicht nochmal machen willst. Und die Weiterleitung am Ende, damit der Server auch aus grün erreichbar ist, ist auch nicht ohne. Dazu kommt, dass du auch Pinholes machen mußt, damit der Server in der DMZ den LDAP erreicht. Trotzdem: mach es gleich richtig: better safe than sorry. > Aber ssh läuft doch auch per Portforwarding? Ist das > dann nicht auch tendenziell unsicher? .. da hast du ein falsches Bild. Zuerst mal wird ssh über einen ssh key abgesichert. Und selbst, wenn du das nciht machst, kann man ssh selbst kaum angreifen: es gehen erstmal nur brute Force attacken auf dein Passwort. Ganz anders ist das bei einem Webserver der von außen erreichbar ist. Wenn der auch noch php verwendet ist er in aller Regel noch anfälliger für Angriffe: auch ohne kentnis von Passwörtern. Solche Dienste würde ich mir nie auf den Server holen: schon gar nicht von einem kleinen Anbieter wie Untis die nicht mal OpenSource erschaffen. Es gibt also keine große Community die da in die Quellen schaut. Klar schützt das auch nicht immer: aber da ist besser als nix. Was du machen könntest wäre, dass du in das Documentroot von WebUntis eine .htaccessdatei legst: dann ist schon da der Zugriff gesperrt ohne Passworteingabe. Aber: man muss sich eben zweimal einloggen: einmal zum Aufrufen der Seite und einmal auf der Seite. > > Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen? das brauchst du nicht unbedingt: wenn du nur 443 weiterleitest, dann geht sowiso nur https. Aus dem Grünen Netz geht noch weiterhin http: aber das sehe ich nicht als so schlimm an. Ansonsten: du kannst das auch in der /etc/apache/sites-availible/ Datei von untis regeln: dass da eben nur 443 geht. Also: ein verschieben in die DMZ wird weh tun, aber es lohnt sich sicherheitstechnisch. Viele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus > Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen? Wenn Du eine Portweiterleitung von IPFire auf :443 machst, geht nur https, da musst Du dann dem apache gar nix sagen. LG Max -- Max Führinger Eichendorff-Gymnasium Ettlingen - System: - Virtualisiert mit KVM auf Ubuntu 12.04 - IPFire 2.17, Core 97 (linuxmuster-ipfire 1.2.6-0ubuntu0) - linuxmuster.net 6.1.2-0ubuntu0 mit Linbo 2.2.14-0 (für IBM T41) bzw. Linbo 2.2.16-0 Erweiterungen: Openschulportfolio, mrbs, apt-cacher (separater virt. server), OwnCloud Clients: Ubuntu 12.04 32bit und 14.04 64bit. - ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo zusammen, ich antworte mal generell auf die verschiedenen Mails. Sehe ich das richtig, dass es ziemlich verschiedene Meinungen und Umsetzungen gibt? Einige haben einfach eine Port-Weiterleitung auf den grünen Server eingerichtet, einige andere würden so etwas grundsätzlich nur auf einem Webserver in der DMZ laufen lassen? Ich habe mir mal die Attacken auf unseren Server angeschaut, es hält sich nach meinem Empfinden in Grenzen - aber natürlich gibt es sie. Ich habe auf jeden Fall mal das GeoIP für die Quelle aktiviert - ich verstehe das richtig, dass dann nur Anfragen aus Deutschland durchgelassen werden? Ich bin etwas unsicher - einerseits habe ich kein Interesse, jetzt die ganze Installation von WebUntis auf einem neuen Server durchzuführen, mit allem, was dann dazugehört, damit unsere Kollegen es auch noch aus dem grünen Netz nutzen können. Aber ich bin zu wenig kompetent in Sachen Netzabsicherung... Aber ssh läuft doch auch per Portforwarding? Ist das dann nicht auch tendenziell unsicher? Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen? Viele Grüße und nochmals vielen Dank für die ganzen Eingaben! Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
'Hallo markus, Am 13.03.2016 um 12:48 schrieb Marcus Numrich: > > im Augenblick tut sich noch nix, wenn ich von außerhalb die Adresse > aufrufen will. Kann es sein, dass BelWue den Port 8080 standardmäßig > sperrt und ich da erst um Freigabe bitten muss? Ja. Mail an belwue genügt. Orange heißt auch DMZ "Demilitarized Zone", also eine Zone, die von beiden Seiten (ROT=außen oder GRÜN=innen) erreichbar ist, aber wenn jemand durch feindliche Übernahme (um in der unsäglich militaristischen Sprache zu bleiben) deinen webuntis-webserver kapert, dann hat er nicht gleich beliebigen Zugang zum grünen Netz. Orange = Pufferzone. Der weitreichenste hackerangriff würde versuchen auf den lml-server zu kommen, von dort kommt man ja überall hin und dort liegen die interessantesten (?) Daten bzw. kann man den meisten weiteren Schindluder treiben. Grüße, Tobias ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, Bezug zur Nachricht vom 12.03.2016, 16:13: > Auf unserem Server läuft das elektronische Tagebuch WebUntis (wohlgemerkt, > nicht beim Hersteller gehostet, sondern alles ist komplett bei uns). > Nun bietet das Programm die Möglichkeit, dass sich Schüler ihren persönlichen > Stundenplan anzeigen lassen können. Da der Server aber nicht im Internet frei > zugänglich ist, geht das natürlich nicht ohne Weiteres. Schüler sollen aber > auch keinen > OpenVPN-Zugang erhalten. > Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, dass > ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! - aufrufen > kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 aufrufst, dann > wirst du zu > server:8080/WebUntis/... umgeleitet und kannst dich da anmelden..." > (LDAP-Anmeldung, authentifiziert durch unseren Server). Es gibt 2 IMHO Möglichkeiten Einfach ist in der Regel auch unsicher, denn die Menschen (Programme) im Internet sind nicht nur gut, sondern versuchen unter anderem Rechner, die nicht geschützt sind, (automatisch) zu kompromittieren :-| Das ist nie persönlich gemeint! Schau Dir dazu mal das IDS-Log und die Zugriffsversuche aus den "bösen" IP-Ländern auf ipfire an. 1. Möglichkeit: Weiterleitung der Pakte, die aus dem roten Netz kommen auf einen Rechner im internen grünen Netz. Einfach aber ein großes Sicherheitsproblem. Die Sicherheitsprobleme: Alle Rechner aus dem Internet können jetzt auf diesen Rechner über diesen Port zugreifen (und wenn der offene Port gefunden ist, werden es auch viele tun). Rechner können versuchen Accounts zu knacken oder Softwarelücken auszunutzen. Sie können, wenn es ein Zugriff ohne https ist, den Datenverkehr einfach mitlesen und die gewonnen Accountdaten verwenden. Wer den grünen Server besitzt, der hat Zugriff auf alle Rechner im lokalen Netz Sicherung: a) nur HTTPS-Datenverkehr zulassen. b) den grünen/internen Server absichern (fail2ban, nicht immer möglich, Firewallregeln, Updates), (Mit für mich beruhigender Sicherheit kann ich das nicht tun!) c) Apache auf dem Server absichern! (Mit für mich beruhigender Sicherheit kann ich das nicht!) d) geoIP Block im IPfire aktivieren (Achtung nur bei bestimmten port forwarding Einstellungen möglich) e) Server in das gelbe Netz hängen, dann kann zumindest das grüne Netz nicht direkt angegriffen werden. Die Möglichkeit 1 im grünen Netz würde ich NIE wählen! Ich hätte das Gefühl ich würde eine Eingangstür im Haus immer offen lassen. 2. Möglichkeit: Mit einem Reverse Proxy (pound auf ipfire) als L7-Gateway auf IP-Fire auf einen internen (gelben) Server zugreifen und nur HTTPS erlauben. Das ist etwas komplizierter, da pound konfiguriert werden muss, aber es ist IMHO immer noch die sicherste Lösung, wenn der Server auch noch im gelben Netz ist. Sicherung: Es gibt kein Schlupfloch, IPFire ist weiterhin für die Sicherheit für Verbindungen aus Rot zuständig (dafür ist er ja gebaut). Der rote Netzverkehr endet im ipfire auf pound. Zusätzliche Sicherheiten für IP-Fire gibt es mit GeoIP-Block und IDS mit Guardian und in den Firewallregeln für den Zugriff auf den Port von pound einen Zeitrahmen setzen, IP-verbindungen pro IP-Adresse und Ratenlimitierung setzen. Alles eine Frage der Paranoia :-) Sicherere und einfache Lösungen gibt es nicht. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo nochmal, im Augenblick tut sich noch nix, wenn ich von außerhalb die Adresse aufrufen will. Kann es sein, dass BelWue den Port 8080 standardmäßig sperrt und ich da erst um Freigabe bitten muss? Ansonsten habe ich bemerkt, dass die ssh Freigabe für den Server bzw. LDAP-Anfragen von außerhalb ja auch mit einer Firewall-Regel bewerkstelligt werden, die im Prinzip genauso funktionieren, insofern sollte es ja kein Ding sein, den laufenden Webserver zu nutzen... Danke fürs Mitdenken :) Marcus Am 13.03.2016 um 11:52 schrieb Schule Führinger: Hallo Marcus, Ich habe grad mal ein wenig in der Doku gestöbert, da ist immer die Rede, dass ein WebServer als extra-Gerät in einem orangen Netz laufen sollte - gilt das für mein Szenario auch, da ich ja 'nur' einen Dienst, der intern schon erreichbar ist, auch von außerhalb zugänglich machen will? Ich denke, dass das Port-Forwarding durchaus übliche Praxis ist. Bei mir kann man auch MRBS und Horde und das Schulportfolio von außen erreichen, sie laufen auf der lml.net. Sicherer wäre es bestimmt, sie auf einem separaten Server in Orange zu haben, aber ich habe eben die lml-pakete für mrbs und openschulportfolio verwendet... Oder kann ich einfach den Apache nehmen (der bisher nur im IntraNet werkelt) und so konfigurieren, dass er dank der Firewall-Regel nur die Nutzung von WebUntis von außen erlaubt? Ich weiß nicht, ob der überhaupt merkt, dass was von außen kommt und nicht glaubt, dass 10.16.1.254 (oder welche IP Dein IPFire hat) anfrägt. Was müsste denn ein Nutzer dann überhaupt daheim in die Adresszeile schreiben? Unsere feste IP bei BelWue mit der Portangabe dahinter, also 141.xxx.yyy.zzz:8080? ja. https:// noch davor. schönen Sonntag noch Max ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
> Was müsste denn ein Nutzer dann überhaupt daheim in die Adresszeile > schreiben? Unsere feste IP bei BelWue mit der Portangabe dahinter, also > 141.xxx.yyy.zzz:8080? Portweiterleitung würde ich auch empfehlen. Wie kommen die Daten denn bei euch an? FritzBox? Dann könnte der Rechner oder die VM mit dem Apachen ja auch in ROT hängen - oder sehe ich das falsch? Was die Namensauflösung angeht: Ich würde einen dynamischen DNS Dienst empfehlen. Früher waren "alle" bei dyndns.org aber die haben ihre Bedingungen verschärft. Wir sind seitdem z.B. bei dtdns.net -- funktioniert einwandfrei. Michael ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, > Ich habe grad mal ein wenig in der Doku gestöbert, da ist immer die Rede, > dass ein WebServer als extra-Gerät in einem orangen Netz laufen sollte - > gilt das für mein Szenario auch, da ich ja 'nur' einen Dienst, der intern > schon erreichbar ist, auch von außerhalb zugänglich machen will? Ich denke, dass das Port-Forwarding durchaus übliche Praxis ist. Bei mir kann man auch MRBS und Horde und das Schulportfolio von außen erreichen, sie laufen auf der lml.net. Sicherer wäre es bestimmt, sie auf einem separaten Server in Orange zu haben, aber ich habe eben die lml-pakete für mrbs und openschulportfolio verwendet... > Oder kann ich einfach den Apache nehmen (der bisher nur im IntraNet werkelt) > und so konfigurieren, dass er dank der Firewall-Regel nur die Nutzung von > WebUntis von außen erlaubt? Ich weiß nicht, ob der überhaupt merkt, dass was von außen kommt und nicht glaubt, dass 10.16.1.254 (oder welche IP Dein IPFire hat) anfrägt. > Was müsste denn ein Nutzer dann überhaupt daheim in die Adresszeile > schreiben? Unsere feste IP bei BelWue mit der Portangabe dahinter, also > 141.xxx.yyy.zzz:8080? ja. https:// noch davor. schönen Sonntag noch Max -- Max Führinger Eichendorff-Gymnasium Ettlingen - System: - Virtualisiert mit KVM auf Ubuntu 12.04 - IPFire 2.17, Core 97 (linuxmuster-ipfire 1.2.6-0ubuntu0) - linuxmuster.net 6.1.2-0ubuntu0 mit Linbo 2.2.14-0 (für IBM T41) bzw. Linbo 2.2.16-0 Erweiterungen: Openschulportfolio, mrbs, apt-cacher (separater virt. server), OwnCloud Clients: Ubuntu 12.04 32bit und 14.04 64bit. - ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Holger, danke für die schnelle Antwort (mal wieder ;) ). Die IPFire-Regel sieht jetzt so aus: TCP | Alle | Firewall (ROT): 8080 ->10.16.1.1: WebUntis Was den Webserver angeht - da betrete ich jetzt kompetenztechnisch Neuland :P Ich habe grad mal ein wenig in der Doku gestöbert, da ist immer die Rede, dass ein WebServer als extra-Gerät in einem orangen Netz laufen sollte - gilt das für mein Szenario auch, da ich ja 'nur' einen Dienst, der intern schon erreichbar ist, auch von außerhalb zugänglich machen will? Oder kann ich einfach den Apache nehmen (der bisher nur im IntraNet werkelt) und so konfigurieren, dass er dank der Firewall-Regel nur die Nutzung von WebUntis von außen erlaubt? Was müsste denn ein Nutzer dann überhaupt daheim in die Adresszeile schreiben? Unsere feste IP bei BelWue mit der Portangabe dahinter, also 141.xxx.yyy.zzz:8080? Sorry, falls das totale Anfängerfragen sind, aber damit habe ich mich noch nie beschäftigt. Viele Grüße, Marcus Am 12.03.2016 um 18:05 schrieb Holger Baumhof: Hallo Marcus, Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, dass ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! - aufrufen kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 aufrufst, dann wirst du zu server:8080/WebUntis/... umgeleitet und kannst dich da anmelden..." (LDAP-Anmeldung, authentifiziert durch unseren Server). Es geht erstmal nur um die grundsätzliche Möglichkeit, mir ist bewusst, dass da auch datenschutzrechtliche Probleme dranhängen. das geht. Läuft der Webserver auf dem Server? Lauscht er auf 8080? Geht der Aufruf der Seiten "von innen"? Dann ist das eine einzige Regel im IPFire: Quelle: ROT Ziel: 10.16.1.1 QuellPort: 8080 ZielPort 8080 Speichern und danach Änderungen übernehmen. Das sollte reichen. VIele Grüße Holger This message was sent using IMP, the Internet Messaging Program. ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, hallo Holger, die Firewallregel kann ich bestätigen, da mir Time for Kids eine ähnliche Anfrage bezüglich Horde auf linuxmuster für deren Schulrouter auch so beantwortet hat. Allerdings soll ich statt ROT die statische IP-Adresse 141.x.y.z eintragen, die wir von unserem Provider erhalten haben, nicht die 10.32.y.z (deshalb bei uns die 10.0.2.0/23 als zwingende Vorgabe für GRUEN!) der roten Schnittstelle. Irgendwo muss es auch noch ein port forwarding von 141.x.y.z zu 10.32.y.z geben, oder? Das ist jedoch nur ein Teil der Miete. Wie erreiche ich ROT, wenn diese Schnittstelle eine dynamische IP-Adresse hat? Wie kommt man ggf. zu einem DNS-Eintrag? WebUntis wird in HH übrigens für alle Schulen (die daran teilnehmen(müssen)) im Auftrag der Schulbehörde gehostet. https://stundenplan.hamburg.de Ich schätze mal, dass man sich juristisch hat beraten lassen. Ich halte das für noch gefährlicher als lokal oder bei Untis selbst, weil die Schulen und KonrektorInnen so wunderbar in ihrer Planungspraxis kontrolliert und verglichen werden könnten ... Gruß Jürgen Am 12.03.2016 um 18:05 schrieb Holger Baumhof: > Hallo Marcus, > >> Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, >> dass ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! >> - aufrufen kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 >> aufrufst, dann wirst du zu server:8080/WebUntis/... umgeleitet und >> kannst dich da anmelden..." (LDAP-Anmeldung, authentifiziert durch >> unseren Server). >> >> Es geht erstmal nur um die grundsätzliche Möglichkeit, mir ist bewusst, >> dass da auch datenschutzrechtliche Probleme dranhängen. > das geht. > Läuft der Webserver auf dem Server? > Lauscht er auf 8080? > Geht der Aufruf der Seiten "von innen"? > > Dann ist das eine einzige Regel im IPFire: > > Quelle: ROT Ziel: 10.16.1.1 > QuellPort: 8080 ZielPort 8080 > > Speichern und danach Änderungen übernehmen. > Das sollte reichen. > > VIele Grüße > > Holger > ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, > Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, > dass ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! > - aufrufen kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 > aufrufst, dann wirst du zu server:8080/WebUntis/... umgeleitet und > kannst dich da anmelden..." (LDAP-Anmeldung, authentifiziert durch > unseren Server). > > Es geht erstmal nur um die grundsätzliche Möglichkeit, mir ist bewusst, > dass da auch datenschutzrechtliche Probleme dranhängen. das geht. Läuft der Webserver auf dem Server? Lauscht er auf 8080? Geht der Aufruf der Seiten "von innen"? Dann ist das eine einzige Regel im IPFire: Quelle: ROT Ziel: 10.16.1.1 QuellPort: 8080 ZielPort 8080 Speichern und danach Änderungen übernehmen. Das sollte reichen. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo zusammen, folgendes Problem: Auf unserem Server läuft das elektronische Tagebuch WebUntis (wohlgemerkt, nicht beim Hersteller gehostet, sondern alles ist komplett bei uns). Nun bietet das Programm die Möglichkeit, dass sich Schüler ihren persönlichen Stundenplan anzeigen lassen können. Da der Server aber nicht im Internet frei zugänglich ist, geht das natürlich nicht ohne Weiteres. Schüler sollen aber auch keinen OpenVPN-Zugang erhalten. Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, dass ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! - aufrufen kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 aufrufst, dann wirst du zu server:8080/WebUntis/... umgeleitet und kannst dich da anmelden..." (LDAP-Anmeldung, authentifiziert durch unseren Server). Es geht erstmal nur um die grundsätzliche Möglichkeit, mir ist bewusst, dass da auch datenschutzrechtliche Probleme dranhängen. Vielen Dank fürs Mitdenken! Viele Grüße, Marcus ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user