Systemzugriff auf efw regeln ?

Sabine

Hallo,
wie stelle ich es an das ich nur noch von einem Rechner aus auf die efw im Internen Netz zugreifen kann ?
Habe meinem Rechner eine Feste IP gegeben und eine Firewall- Regel erstellt:
Quelle: Feste- IP
Ziel: Rot
Port: 10443
Trotzdem komme ich auch von anderen Rechnern über den Browser auf die efw.
Oder muss ich unter Systemzugriff eine Regel erstellen ? Ich dachte das wäre nur für den Externen- Zugriff.

Gruß Sabine

ffischer

Hallo Sabine,
du must das bei Systemzugriff einrichten.

Systemzugriff = Zugriff auf die EFW

Dann sollte das funktionieren.

gruß Frank

Sabine

Hallo ffischer,
das habe ich jetzt gemacht, ich komme aber immer noch von anderen Rechnern auf die efw !
Jetzt sogar wen ich den Proxy aus dem Browser nehme ? ?
Das sollte doch nur noch von der einen IP gehen.

Gruß Sabine

ffischer

Hallo,
doch das sollte gehen.
Allerdings ist bei mir in Systemzugriff die Regel Nr2

2 <ALLE> GRÜN TCP/10443 Dienst (ADMIN)

und den kannst ned bearbeiten, müstest die IPTables bearbeiten die beim starten geladen werden.
Alternativ ändere die HTTP.CONF und änder bei dem ALLOW ALL das so ab das nur deine IP zugelassen wird.

gruß Frank

Sabine

Hallo ffischer,
Bei mir sieht das jetzt so aus:

Gruß Sabine

ffischer

Klick mal auf "Regeln der Systemdienste anzeigen" da stehts drin.
Warum auch immer man das was dort steht nicht abstellen kann.

Sabine

Auch du Schei…. Das habe ich bis jetzt noch nicht gesehen.

ffischer

jup.

2 Möglichkeiten

1. du kennst dich mit den IP Tables aus dann kannst du unter

Code

/etc/firewall/inputfw/iptablesinputfw

die IP Tables entsprechend bearbeiten

2. du ändert die HTTP.conf wie oben geschrieben so das die Webseite nur von deinem PC geöffnet werden kann.

gruß

Sabine

Dan brauche ich ja gar keine Regel erstellen, das nur ein Rechner drauf zugreifen darf, wenn das eh alle dürfen !
Das mit den IP Tables und mit der HTTP.conf muss ich mir mal ansehen wenn ich nach her etwas mehr Zeit habe.
Danke erstmal für den Schreck !

Gruß Sabine

ffischer

Zitat

Danke erstmal für den Schreck !

Tschuldige

mit der httpd.conf

Suche nach:

Apache Configuration

<Directory /home/httpd/cgi-bin>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/efw/auth/users
    Require user admin support

füge

Code

order deny,allow
allow from DIE_IP_ADRESSE
deny from all

darunter ersetze DIE_IP_ADRESSE durch deine.

danach apache/httpd neustarten .. sollte funktioniren .. ist aber ungetestet.

gruß

Sabine

Mit dem Schreck meinte ich was man unter "Regeln der Systemdienste anzeigen" alles so angezeigt bekommt.
Ok, das mit dem Code hätte ich auch nicht gewusst. Muss aber jetzt erst noch mal was arbeiten, dann schaue ich mir das mal an.

Gruß Sabine

ffischer

Das ganze ist recht praktisch.
So konnte ich einen neuen User anlegen bei einem Kunden, so das der auf die EFW zugreifen kann aber nur rebooten darf

gruß

Sabine

Du meinst doch sicher /home/httpd/config/httpd.conf .
Gruß Sabine

ffischer

Da liegt bei mir keine conf
die is bei mir in /etc/httpd/...

Sabine

Genau das meine ich, habe mich in der Eile verschrieben, /etc/httpd/conf/ du hattest vorher /home/httpd/config/ geschrieben, deshalb die nachfrage.
So eingetragen hab ich das ganze, mit dem Neustarten der Dienste muss ich noch warten, du surfen noch zu viele.

Gruß Sabine

ffischer

Das home/http...
War das mit dem Part was in der conf steht.

Kannst mir ja sagen obs geklappt hat.

gruß

Sabine

Ja, hat geklappt, DANKE ! !
Ich habe erst mal einen schreck bekommen weil ich über den Proxy nicht mehr draufkam.
Jetzt noch eine Frage: Wenn ich mir eine Zugang von Außen einrichten wollte käme ich auch nicht mehr an die efw ran, oder ?

Gruß Sabine

ffischer

Bitte.

Wie meinst du das mit " ausen " ?
Meinst du etwa von dir zu hause ?
Dann würde ich das per VPN machen und deinem Platz daheim eine IP Adresse geben du kannst ja beim verbinden mit OpenVPN sagen welche IP Adresse der Benutzer X bekommen soll und die trägst einfach mit in die httpd.conf mit ein.

gruß

Sabine

Ok, das hatte ich mir schon so gedacht, nochmals DANKE !

Hast du mal die Zeit gefunden um eine Appliance an einer 16000 Leitung ( wie im Forum Embedded Systems angesprochen ) in Bezug
auf die Auslastung zu testen ?

Gruß Sabine

ffischer

Hallo, nein nocht nicht
aber ich liefer am morgen eine Firewall Appliance Mini aus die hat nen 600Celeron drin
Da kann ich mal schauen was da passiert, ich weiß nur nicht wie schnell die nen DSL Anschluss haben.

Das weiß ich aber morgen

gruß