Frage zu Port-Forwarding

Hey, ich will mir demnächst mal eine NSLU2 an den Router hängen und einem Kumpel (extern) Zugang über SSH ermöglichen. Dort soll dann Xampp laufen und er sollte auf die dortige Website zugriff haben Was muss ich da am Router konfigurieren?

Wenn ich Port 80 und 22 auf die NSLU2 weiterleite, kommt ja an meinem normalen PC nichts mehr an, oder? Oder geht das eher so, dass ich der NSLU2 einen von den freien Ports im hohen Bereich gebe und mein Kumpel dann meineIP:meinHoherPort eingibt? Muss ich dann mit Port 80 und 22 noch irgendwas tun? Gruß, Forks
 
Wenn ich Port 80 und 22 auf die NSLU2 weiterleite, kommt ja an meinem normalen PC nichts mehr an, oder?
Nein.
Auf deinem PC kommt trotzdem alles an.
Der Web-Server lauscht auf Port 80, der Browser dagegen nimmt irgend nen ziemlich hohen freien Port.

Allerdings würde ich einen XAMPP niemals ins WWW lassen, solange er nicht per Hand ordentlich abgesichert wurde...

XAMPP soll den Entwicklern die Arbeit möglichst leicht machen und von daher sind keinerlei serverseitige Restriktionen drin (z.B. Beschränkung auf bestimmte Verzeichnisse) und es werden alle möglichen und unmöglichen Module geladen... Die kleinste Lücke in einer Web-Applikation reicht dann also aus, um ganz schnell den Server zu übernehmen...

Ich würde auf die NSLU2 Debian drauf machen und dann Apache+PHP(+MySQL wenn benötigt) direkt aus den Debian-Repositories nehmen (da sind die configs schon ein wenig Produktiv-System-tauglicher) und nichtsdestotrotz noch immer die Einstellungen der php.ini verschärfen...
 
Ich bin ja nicht die Polizei :wink:

Ich weis durchaus, das Xampp eine Sicherheitslücke ist. Dort schaffe ich es aber immerhin ohne Apache-Kenntnisse, die vorgegebenen Sicherheitsoptionen zu konfigurieren. Ob ich bei Apache aufgrund von Unkenntnis dann nicht erstmal eine noch größere Sicherheitslücke fabriziere, als mit Xampp? Ich habe einmal versucht, einen Apache mit ein paar Mods zu installieren und danach hatte ich Apache-Hackfleisch in verschiedensten Verzeichnissen und nichts hat funktioniert. Naja, vll. versuche ich es ja mal über die apt-get install-Methode, falls das möglich ist.

Ich wollte dann in den IP-Tables der NSLU2 (auf die natürlich Debian kommt) einfach alles blockieren, ausser meinem PC und dem meines Kumpels, anhand der IP (wir haben statische öffentliche).

Ok, also kann ich tatsächlich 80 und 22 auf die NSLU forwarden und dann sollte das klappen? Gut, Danke schonmal :)
 
Zuletzt bearbeitet:
Ob ich bei Apache aufgrund von Unkenntnis dann nicht erstmal eine noch größere Sicherheitslücke fabriziere, als mit Xampp? Ich habe einmal versucht, einen Apache mit ein paar Mods zu installieren und danach hatte ich Apache-Hackfleisch in verschiedensten Verzeichnissen und nichts hat funktioniert. Naja, vll. versuche ich es ja mal über die apt-get install-Methode, falls das möglich ist.

Genau das meinte ich: einfach
Code:
apt-get install apache2 php5 libapache2-mod-php5
anstatt Pakete per Hand zu installieren, die dann nirgendwo mit gewartet werden, was Security-Updates betrifft...

Ich wollte dann in den IP-Tables der NSLU2 (auf die natürlich Debian kommt) einfach alles blockieren, ausser meinem PC und dem meines Kumpels, anhand der IP (wir haben statische öffentliche).
Okay, wenn ihr statische IPs habt, ist das natürlich auch noch ein guter zusätzlicher Schutz!

Ok, also kann ich tatsächlich 80 und 22 auf die NSLU forwarden und dann sollte das klappen?
Jepp.

Gut, Danke schonmal :)
bitte, bitte.
 
So, meine Pläne wurden vorerst durchkreuzt von meinem (zwar in der Theorie vorhandenen, in der Praxis jedoch) fehlenden Wissen über Router/Networking.

Die NSLU hat auf Werkseinstellung die IP 192.168.1.77
Mein WLAN-Interface hat das 192.168.1xx.x-er Netz.

Soweit ich das verstehe, muss ich mich im gleichen Netz befinden um das Web-Interface der NSLU zu öffnen, was derzeit nicht der Fall ist. Nun kann ich die NSLU nur über Kabel anbinden und ich brauche Wlan, um meinen PC zu erreichen.

Kann ich die nslu irgendwie in das gleiche Netz hängen wie das Wlan? Denn derzeit finde ich nichtmal mit nem IP-Scanner das Gerät. :rolleyes:
 
Wo ist das Problem?

Variante 1: du hängst dich mit 'nem CrossOver-Kabel direkt an die NSLU, gibst dir selbst eine feste IP im entsprechenden IP-Bereich, greifst auf das Web-Interface zu, änderst die IP passend zum restlichen Netzwerk ab, hängst die NSLU ins restliche Netzwerk und stellst deine eigenen IP-Einstellungen wieder zurück

Variante 2: du änderst die IP deines Routers und evtl. andere feste IPs in deinem Netzwerk passend auf das Netzwerk der NSLU...

Wobei ich sagen muss, dass 192.168.1xx.x ein sehr ungewöhnliches Netz ist... wer hat das denn so eingerichtet? oder was für Router hast du?
 
1. Kein Crossover-Kabel da.

2. Wenn ich mein WLAN-Interface am Router auf 1.x stelle und das LAN-Interface auch, dann überschneiden die sich doch. Subnetting? Oder bin ich dann nicht mit meinem WLan-1er-Subnetz auch getrennt vom Lan-1er-Subnetz?

Und die 1xx.x..dazu meinte mein Bruder (der sowas nicht macht, weil ers irgendwo in der Computerbild gelesen hat ^^) dass wir im 1er-Netz ständig Firewall-Notifications bekommen würden. Bzw. einer der PCs in unserem Haus, dessen Benutzer sich dagegen nicht zu wehren weis ^^..
 
kein Crossoverklabel?
Häng die Kisten an einen Switch und du kannst Verfahren als hättest du ein Crossoverkabel.
btw brauchen moderne Netzwerkkarten überhaupt noch ein Crossoverkabel?
Übrigens sind bei den meisten Consumerroutern die LAN-Anschlüsse geswitcht und nicht geroutet.

Andere Möglichkeit Subnetzmaske im Router auf 255.255.0.0 ändern, dann müsste er deinen
Rechner auch an das Webinterface der NSLU weiterleiten.
Allerdings könnte die NSLU Verbindungen aus dem eigenen Intranet verlangen, dann musst du eben deine IP eventuell auch noch anpassen.

Gruss
 
Kein Switch-Bedarf hier, da ja idR. Wlan an ist. Somit erklärt sich auch, warum ich kein Lan-Kabel an meine Wlan-Nic bekomme. Wlan-Kabel und so..

Wenn die Router-Ports geswitcht wären, hätte Angry IP Scanner die Kiste ja finden müssen, wenn ich das 1er-Netz scanne. Da sie es also scheinbar nicht sind (geswitched) habe ich halt auch noch Verständnisprobleme, was es mir bringen soll, meinem WLAN-Interface die passende IP zu geben, wenn es dadurch die gleiche IP haben müsste, wie das LAN-Interface..

Ich setze mich morgen oder übermorgen nochmal dran und versuche, am Router die IP zu ändern. Und mal mit meiner Firewall rumzuspielen. Obwohl die eigentlich in dem Bereich nichts blocken dürfte. Vll. finde ich morgen im Büro noch ein Crossover-Kabel, dann könnte ich das mal an den LAN-Port meines Mainboards stecken.
 
Wenn die Router-Ports geswitcht wären, hätte Angry IP Scanner die Kiste ja finden müssen, wenn ich das 1er-Netz scanne. Da sie es also scheinbar nicht sind (geswitched) habe ich halt auch noch Verständnisprobleme, was es mir bringen soll, meinem WLAN-Interface die passende IP zu geben, wenn es dadurch die gleiche IP haben müsste, wie das LAN-Interface..
.

Ich schrieb die LAN-Anschlüsse sind geswicht, WLAN ist geroutet somit wird 192.168.1.77 im
Internet gesucht, deshalb mein Vorschlag die Subnetmaske zu ändern. :wink:

Gruss
 
2. Wenn ich mein WLAN-Interface am Router auf 1.x stelle und das LAN-Interface auch, dann überschneiden die sich doch. Subnetting? Oder bin ich dann nicht mit meinem WLan-1er-Subnetz auch getrennt vom Lan-1er-Subnetz?
Wenn du EINEN Router hast, dann gibst du ihm EINE IP-Adresse und aktivierst - um die Konfiguration zu vereinfachen - am besten den DHCP-Server auf dem Router und lässt alle Client-IPs automatisch beziehen - und ALLE (egal ob LAN oder WLAN) bekommen dann 'ne IP im gleichen Netz!


Und die 1xx.x..dazu meinte mein Bruder (der sowas nicht macht, weil ers irgendwo in der Computerbild gelesen hat ^^) dass wir im 1er-Netz ständig Firewall-Notifications bekommen würden. Bzw. einer der PCs in unserem Haus, dessen Benutzer sich dagegen nicht zu wehren weis ^^..
Wer weiß, was für 'ne infizierte Kiste du da einfach im LAN hast, welche irgendwelchen Müll versendet... da macht es ehr mal Sinn, den Ursachen für diese Firewall-Meldungen auf den Grund zu gehen anstatt sich einfach vor den Meldungen zu "verstecken"

Wenn die Router-Ports geswitcht wären, hätte Angry IP Scanner die Kiste ja finden müssen, wenn ich das 1er-Netz scanne.
Wenn du selbst nicht im gleichen Netzwerk bist (was ja über die Subnet-Mask definiert wird) kannst du suchen was du willst, du findest nix...

btw brauchen moderne Netzwerkkarten überhaupt noch ein Crossoverkabel?
Wenn eines der beiden Network-Interfaces Auto-MDI(X) unterstützt (z.B. alle Gigabit-NICs), braucht man kein Crossover-Kabel mehr... ich schreib aber lieber einmal unnötig "CrossOver" als dass ich davon ausgehe, dass der Thread-Ersteller eine Gigabit-Netzwerkkarte hat... ;)

@Forks: ganz ehrlich: bei deinem Wissen über Netzwerke, würde ich mir echt überlegen, ob du wirklich die NSLU per NAT im Internet verfügbar machen willst... dass du es schaffst, die Kiste mit iptables ordentlich abzusichern, bezweifle ich nach dem, was du hier so schreibst, stark!

Daher ein gut gemeinter Tipp:
spiel erstmal ausgiebig im lokalen Netzwerk rum und beschäftige dich mit allen nötigen Hintergründen, bevor du auch nur irgendwas über die NAT von außen erreichbar machst. Anderenfalls holst du dir ganz schnell unliebsamen Besuch auf die Kiste und kannst im schlimmsten Fall als Mitstörer haftbar gemacht werden!
 
Wenn du EINEN Router hast, dann gibst du ihm EINE IP-Adresse und aktivierst - um die Konfiguration zu vereinfachen - am besten den DHCP-Server auf dem Router und lässt alle Client-IPs automatisch beziehen - und ALLE (egal ob LAN oder WLAN) bekommen dann 'ne IP im gleichen Netz!

Man hat mir das bisher (Job/Berufsschule) so beigebracht:
Pro Interface ein Netz. Und da ihr mir bisher nicht genau bei dem Punkt widersprochen habt, ging ich davon aus, dass es sich bei den Lan-Ports und dem WLAN am Router eben um unterschiedliche Interfaces handelt. Somit nichts mit "Eine IP am Router und dann sind alle im gleichen Netz". Wenn das doch so ist, ok. Dann mache ich das morgen so.

Wer weiß, was für 'ne infizierte Kiste du da einfach im LAN hast, welche irgendwelchen Müll versendet... da macht es ehr mal Sinn, den Ursachen für diese Firewall-Meldungen auf den Grund zu gehen anstatt sich einfach vor den Meldungen zu "verstecken"

Wir haben mit an Sicherheit grenzender Warscheinlichkeit keine infizierte Kiste im LAN. Ich bin vielleicht kein Profi, aber ich bin auch kein Internetausdrucker. Was genau mein Bruder da gemeint hat, da habe ich nicht genauer nachgefragt weils mir vorerst nicht allzu wichtig war. Ich glaube, wir waren bisher nur zu faul, auf dem Laptop vom Vater ne gescheite Firewall zu installieren bzw. den Mist der da drauf ist, auszumachen.

Wenn du selbst nicht im gleichen Netzwerk bist (was ja über die Subnet-Mask definiert wird) kannst du suchen was du willst, du findest nix...

Verständnisfrage:

Angenommen die Router-Ports sind geswitcht, dann könnte ich doch zwischen den verschiedenen privaten Netzen Pakete rumschicken. Warum würde dann der IP-Scanner nichts finden, wenn ich das 1er-Netz scanne?

Warscheinlich (zumindest in meinem Fall) wegen meinem Denkfehler, dass das 1er-Netz existieren könnte, obwohl mein Router ja eigentlich nur ein privates 178er-Netz am laufen hat? Mh, ja, klingt logisch :wink:

@Forks: ganz ehrlich: bei deinem Wissen über Netzwerke, würde ich mir echt überlegen, ob du wirklich die NSLU per NAT im Internet verfügbar machen willst... dass du es schaffst, die Kiste mit iptables ordentlich abzusichern, bezweifle ich nach dem, was du hier so schreibst, stark!

Daher ein gut gemeinter Tipp:
spiel erstmal ausgiebig im lokalen Netzwerk rum und beschäftige dich mit allen nötigen Hintergründen, bevor du auch nur irgendwas über die NAT von außen erreichbar machst. Anderenfalls holst du dir ganz schnell unliebsamen Besuch auf die Kiste und kannst im schlimmsten Fall als Mitstörer haftbar gemacht werden!

Das ist absolut verständlich und richtig von dir, mir diesen Tip zu geben, aber auch wenn ich in der Praxis bisher noch nichtmal mein Haus vernetzt habe und ich somit im Umgang mit Routern noch ein wenig ahnungslos bin, so halte ich mich definitiv dazu in der Lage, mir mit ausreichend Lesen von Tutorials eine funktionierende IP-Tables-Konfig zu schreiben. Ganz zu schweigen von meiner Security-Paranoia, die mich eh davon abhalten würde, da was online zu schalten ohne euch oder meinen Ausbilder oder sonstwen mit Ahnung davor zu fragen. ;) Das mag jetzt ein blödes Argument sein und dich auch nur wenig interessieren, aber ich langweile mich nicht ohne Grund in der Berufsschule zu Tode, u.a. weil ich mich rund um die Uhr mit IT-Theorie und somit auch viel mit Security beschäftige. Aber halt Theorie, Praxis muss ich noch lernen...Und ich habe bereits hier schon wieder einiges dazugelernt.

Danke also, und mal sehen ob das klappt, morgen.
 
Zuletzt bearbeitet:
Hier mal ein kurzer Versuch einer Iptables-Config. Geht das in die richtige Richtung?

Code:
#!/bin/sh

# entstauben
iptables -F
iptables -X

# alles verbieten
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# loopback erlauben
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 

# SSH nur für meinen freund und mich (ich nehme an der muss auch als Output geöffnet sein, damit eine verbindung überhaupt funktioniert?)

iptables -A INPUT -p tcp -s [ip vom freund] -d [meine öffentliche ip] --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s [meine öffentliche ip] -d [ip vom Freund] --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s [meine interne IP] -d [interne IP vom Server, nehme ich an] --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s [interne IP vom Server, nehme ich an] -d [meine interne IP] --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT

# http(s) ebenso
iptables -A INPUT -p tcp -s [ip vom freund] -d [meine öffentliche ip] –sport 1024:65535 -m multiport –dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s [öffentliche IP] -d [ip vom freund] –sport 1024:65535 -m multiport –dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s [meine interne ip] -d [interne ip vom server] –sport 1024:65535 -m multiport –dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s [interne ip vom server] -d [meine interne ip] –sport 1024:65535 -m multiport –dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT

# das habe ich noch nicht ganz verstanden. mit -A werden afaik regeln an eine Chain gehängt. wird hier nochmals alles unterbunden?  -j gibt ja ein Ziel an (?) und da keins definiert ist, bezieht sich das wieder auf alles? das scheint in vielen configs zu stehen
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

Gruß, Forks.
 
Zuletzt bearbeitet:
Moin,

wenn Netfilter auf Deiner lokalen Maschine (!Router) läuft folgender Vorschlag für SSH-Zugriff von Extern (Internet):
iptables -F #Vorhandene Regeln löschen, das löschen von Ketten lassen wir hier weg, da Du nur 2 der Standardketten verwendest.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -I INPUT -s Router-IP-Freund -m mac --mac-source MAC-Freund (Router-MAC!) -p tcp --dport 22 -j ACCEPT #Es hilft nix, muß halt, das mit dem Sourceport ist gut gemeint,aber da "könnte ja jeder kommen" und die -d "EXT_IP des Routers" sieht die Büchse auch nicht (wird vom DNAT des Routers geschreddert), da ist die MAC-Source als Filter besser.

iptables -I INPUT -m state --state NEW -m recent --set
iptables -I INPUT -m state --state NEW -m recent --update --seconds 60 --hitcount 11 -j DROP #sollte zumindest das schlimmste verhindern

Evtl. zum loggen den Kollegen:
iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix "Alarm: " #Schlägt bei Debian glaube ich im daemon.log auf.

Den Port natürlich im Router entsprechend "forwarden"....

Schutzmechanismen gegen Spoofing sollten in /etc/sysctl.conf oder so zu finden sein.

Das allerwichtigste (wie viele schon erwähnt haben) ist aber die Anwendungen selbst zu sichern.
Für den indianer gibt 's bspw. ModSecurity und für SSH bitte dicke PWs (40-50 stellig mit viel "buntem")

usw...usw...
 
Zuletzt bearbeitet:
Zurück
Oben