Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wieso kann ich meinen SVN-server nicht von ausserhalb erreichen?

Mitglied: Grindhold

Grindhold (Level 1) - Jetzt verbinden

27.01.2010 um 01:40 Uhr, 7243 Aufrufe, 2 Kommentare

Vserver mit Firewall kann nicht von aussen auf port 3690 angesprochen werden. Wie kommt das?

Hallo, Administratoren.

Ich richte gerade einen VServer (Debian Lenny) ein. Auf diesem habe ich Subversion installiert, die svnserve.conf meinen beduerfnissen angepasst und der dienst funktioniert soweit auch, jedoch nur, wenn ich ihn vom server aus ueber localhost anspreche.
Auf dem Server laufen iptables. Ich habe versucht mit dem Command "iptables -A INPUT -m state --state NEW -m tcp -p tcp -dport 3690 -j ACCEPT" den noetigen ACCEPT-eintrag hinzuzufuegen. Leider ohne erfolg.
Ebenfalls habe ich versucht per telnet auf pot 3690 zu verbinden, was per localhost auch klappt, jedoch wieder nicht von aussen, deswegen gehe ich stark davon aus, dass die IPtables den zugriff, den ich brauche einschraenken.
Meine IPtables sehen so aus:

[code]
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
LOG all -- anywhere anywhere state INVALID limit: avg 2/sec burst 5 LOG level warning prefix `INPUT INVALID '
DROP all -- anywhere anywhere state INVALID
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
MY_DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,RST/FIN,RST
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN
MY_DROP tcp -- anywhere anywhere tcp flags:PSH,ACK/PSH
MY_DROP tcp -- anywhere anywhere tcp flags:ACK,URG/URG
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:www
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssmtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:nntp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain
ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql
ACCEPT udp -- anywhere anywhere state NEW udp dpt:ntp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6060
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ircd
MY_REJECT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:svn
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:3980

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
LOG all -- anywhere anywhere state INVALID limit: avg 2/sec burst 5 LOG level warning prefix `OUTPUT INVALID '
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-request
MY_REJECT all -- anywhere anywhere

Chain MY_DROP (7 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `PORTSCAN DROP '
DROP all -- anywhere anywhere

Chain MY_REJECT (2 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT TCP '
REJECT tcp -- anywhere anywhere reject-with tcp-reset
LOG udp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT UDP '
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
LOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `DROP ICMP '
DROP icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT OTHER '
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
[/code]

Hier noch meine svnserve.conf, an der duerfte aber eigentlich alles passen, da ich einen zweiten rechner habe, der mit der identischen config am netz haengt und funktioniert.

[code]
### This file controls the configuration of the svnserve daemon, if you
### use it to allow access to this repository. (If you only allow
### access through http: and/or file: URLs, then this file is
### irrelevant.)

### Visit http://subversion.tigris.org/ for more information.

[general]
### These options control access to the repository for unauthenticated
### and authenticated users. Valid values are "write", "read",
### and "none". The sample settings below are the defaults.
  1. anon-access = read
auth-access = write
### The password-db option controls the location of the password
### database file. Unless you specify a path starting with a /,
### the file's location is relative to the directory containing
### this configuration file.
### If SASL is enabled (see below), this file will NOT be used.
### Uncomment the line below to use the default password file.
password-db = passwd
### The authz-db option controls the location of the authorization
### rules for path-based access control. Unless you specify a path
### starting with a /, the file's location is relative to the the
### directory containing this file. If you don't specify an
### authz-db, no path-based access control is done.
### Uncomment the line below to use the default authorization file.
  1. authz-db = authz
### This option specifies the authentication realm of the repository.
### If two repositories have the same authentication realm, they should
### have the same password database, and vice versa. The default realm
### is repository's uuid.
  1. realm = My First Repository
grindhold = write
zigapeda = write
chefkoch = write
aniras = write
kevin = write


[sasl]
### This option specifies whether you want to use the Cyrus SASL
### library for authentication. Default is false.
### This section will be ignored if svnserve is not built with Cyrus
### SASL support; to check, run 'svnserve --version' and look for a line
### reading 'Cyrus SASL authentication is available.'
  1. use-sasl = true
### These options specify the desired strength of the security layer
### that you want SASL to provide. 0 means no encryption, 1 means
### integrity-checking only, values larger than 1 are correlated
### to the effective key length for encryption (e.g. 128 means 128-bit
### encryption). The values below are the defaults.
  1. min-encryption = 0
  2. max-encryption = 256
[/code]

Kann mein problem auch noch andere ursachen als iptables haben?
Auf dem Server lauffen ausserdem noch;
Apache2
fail2ban
MySQL
chkrootkit

Wenn IP-Tables: Kann ich diese irgendwie deaktivieren? Beim googeln fand ich einen hinweis drauf, dass es die moeglichkeit gibt per /etc/init.d/iptables stop diese auszuschalten, jedoch existiert dieser daemon in meinem system nicht.

In diesem Sinne schonmal danke an euch alle


grindhold
Mitglied: dog
27.01.2010 um 09:19 Uhr
Ich würde jetzt einfach mal sagen hier liegt dein Problem:
01.
MY_REJECT all -- anywhere anywhere 
02.
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:svn 
03.
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:3980 
Nach der Regelfolge würde deine Erlaubnis nie greifen...
Bitte warten ..
Mitglied: datasearch
27.01.2010 um 11:41 Uhr
Hallo,

gib mal bitte eine ausgabe von

iptables -nvL

und poste es diesmal mit < code >

Die Regeln sind verwirrend, da du oben nach TCP Flags filterst und weiter unten mit dem State-Modul arbeitest.

Auch hast du im oberem Dritten ein "ACCEPT all -- anywhere anywhere" stehen. Wenn das auf dem externem Interface liegt, wird hier ALLES ERLAUBT was nicht oben mit den tcpflags geblockt wird. Da du aber -P INPUT DROP verwendest, hat es wenig Sinn explizit zu blocken. Wenn da nicht noch mehr in der accept any any regel steht, sind alle weiteren Regeln inklusive Default-Policy unwirksam.

Die Regeln sollten so angelegt werden, das alles per Default verboten und nur ganz eng eingegrenzt deine Serverdienste erlaubt werden.


eth0=externes Interface
1.2.3.4= externe IP
01.
iptables -N ext-in 
02.
iptables -N avd-in-check 
03.
iptables -N icmp-ext 
04.
ipables -P INPUT DROP 
05.
iptables -A INPUT -i eth0 -d 1.2.3.4 -j ext-in 
06.
iptables -A INPUT -p icmp -j icmp-ext 
07.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
08.
iptabkes -A ext-in -p tcp --dport 3690 -m state --state NEW,ESTABLISHED -j adv-in-check 
09.
iptables -A ext-in -p udp --dport 3690 -m state --state RELATED,ESTABLISHED -j adv-in-check 
10.
iptables -A ext-in -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j adv-in-check 
11.
iptables -A adv-in-check -m state --state NEW -j LOG --log-prefix "NEW-CON: " 
12.
... weitere erweiterte Prüfungen für eingehende Verbindungen, z.B. L7, ascii usw.. 
13.
... jede regel enthält ein explizites ACCEPT. Alles andere wird verworfen. 
14.
iptables -A icmp-ext -i eth0 -p icmp --icmp-type echo-rewuest -j ACCEPT 
15.
 
16.
und ausgehend das selbe 
17.
 
18.
iptables -N ext-out 
19.
iptables -A OUTPUT -o eth0 -s 1.2.3.4 -j ext-out 
20.
iptables -A OURPUT -p icmp -j icmp-ext 
21.
iptables -A ext-out -p tcp --sport 3690 -m state --state ESTABLISHED -j adv-out-check 
22.
iptables -A adv-out-check -m owner --uid-owner svn -j ACCEPT 
23.
iptables -A ext-out -p udp --sport 3690 -m state --state ESTABLISHED,RELATED -j adv-out-check
Wenn du nach diesem Prinzip deine Regeln aufbaust hast du weniger Ärger.
Bitte warten ..
Ähnliche Inhalte
Windows 7

Citrix Xenserver außerhalb des Netzwerks erreichen !!!

Frage von speedy783Windows 76 Kommentare

Hallo Kollegen, seit Wochen beschäftige ich mich mit diesem Problem ich hoffe ihr könnt mir hier irgendwie weiterhelfen. Überblick: ...

Exchange Server

Einstellungen bei outlook, wenn ich meinen exchange 2010 auch von ausserhalb erreichen möchte

Frage von jensgebkenExchange Server6 Kommentare

hallo gemeinschaft habe folgende configuration exchange 2010 in einer sbs2011 client w7 mit outlook 2013 wenn ich die verbindung ...

Webentwicklung

Apache configuration um dateien von ausserhalb von ruby zu erreichen

Frage von warbyrdWebentwicklung2 Kommentare

Zunächst einmal meine Serverkonfiguration: Auf Server läuft apache2 Meine Ruby App starte ich mit passenger Ich habe einen "images" ...

Entwicklung

SVN auf einen Webserver

Frage von YanmaiEntwicklung3 Kommentare

Hallo ihr Administratoren, ich kenne SVN jetzt von meiner Arbeit. Kann man es so machen, dass ich einen SVN ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 4 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 7 StundenCPU, RAM, Mainboards4 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 21 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...