Firewall / https

Post Reply
Message
Author
Uli

Firewall / https

#1 Post by Uli »

Ich habe einen Linux-Router (DSL) und betreibe einen Webserver.
Auf dem Router läuft eine Firewall (ipchains) was auch hervorragend funktionier.
Jetzt möchte ich per https auf meinen Webserver und Webmin zugreifen können.
Ohne Firewall funktioniert es, aber sobald der Firewall läuft habe ich per https keinen Zugriff mehr.
In FW_SERVICES_EXTERNAL_TCP habe ich https eingetragen.
Intern habe ich alle Ports zwischen 1:9000 offen.

Trotzdem funktioniert das https auch intern nicht.

kann mir jemand einen Tipp geben?

Mail: ulrich.oestreicher@web.de

Danke

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Firewall / https

#2 Post by Stormbringer »

Keent es ggf. nicht die Kurzform https?
Trage doch auch einmal die Portnummer ein: 443.

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

slider2k
Posts: 6
Joined: 19. Nov 2001 13:11

Re: Firewall / https

#3 Post by slider2k »

hi

also entwerder der fehler von dem kolegen über mir oder

fahre mal deine firewall runter und starte mal das programm "iptraf"

da wählst du mal "ip traffic monitor" -> "eth0"

dann greife jetzt mal auf deinen server per https zu und kucke mal von welchem port auf welchem port zugeriffen wird und von welchem geantwortet wird.

denn 1-9000er ports reichen manchmal nicht (p.s. es ist dann firewall (die meisten angreifer kommen von intern) nur so am rande)

du musst wissen die anfragen werden ja von einem unterpriviligerten port gemacht also 1025 - 65535

kucke mal nach und dann wirst du sehen -> wenn ich mal zeit habe kann ich mal nachkucken welchen port spielraum https hat dann kannst du es schon mal einschränken

aber wenn du dafür expliziet einen port freigeben musst, dann kann ich dir jetzt schon sagen, das deine firewall nicht viel nützt


besser firewall wäre
alles zu lassen was von localhost kommt und geht

ein limit einführen bei den anfragen mit dem SYN Flag
alle verbindungen die ESTABILISHED und RELATED sind acceptieren

dann hast du das problem mit der freigabe nicht mehr

ggf. mal zum kernel 2.4.x wechslen und da dann iptables nutzen

cu slider2k

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Firewall / https

#4 Post by trinity »

@The
er kann deine tipps sowieso nur nutzen wenn er kernel >2.3 nimmt.
ESTABLISHED & Co. gibts nämlich bei linux nur mit der netfilter architektur.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)

Post Reply