Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wieso kann ich meinen SVN-server nicht von ausserhalb erreichen?

Frage Internet Server

Mitglied: Grindhold

Grindhold (Level 1) - Jetzt verbinden

27.01.2010 um 01:40 Uhr, 7143 Aufrufe, 2 Kommentare

Vserver mit Firewall kann nicht von aussen auf port 3690 angesprochen werden. Wie kommt das?

Hallo, Administratoren.

Ich richte gerade einen VServer (Debian Lenny) ein. Auf diesem habe ich Subversion installiert, die svnserve.conf meinen beduerfnissen angepasst und der dienst funktioniert soweit auch, jedoch nur, wenn ich ihn vom server aus ueber localhost anspreche.
Auf dem Server laufen iptables. Ich habe versucht mit dem Command "iptables -A INPUT -m state --state NEW -m tcp -p tcp -dport 3690 -j ACCEPT" den noetigen ACCEPT-eintrag hinzuzufuegen. Leider ohne erfolg.
Ebenfalls habe ich versucht per telnet auf pot 3690 zu verbinden, was per localhost auch klappt, jedoch wieder nicht von aussen, deswegen gehe ich stark davon aus, dass die IPtables den zugriff, den ich brauche einschraenken.
Meine IPtables sehen so aus:

[code]
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
LOG all -- anywhere anywhere state INVALID limit: avg 2/sec burst 5 LOG level warning prefix `INPUT INVALID '
DROP all -- anywhere anywhere state INVALID
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
MY_DROP tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,RST/FIN,RST
MY_DROP tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN
MY_DROP tcp -- anywhere anywhere tcp flags:PSH,ACK/PSH
MY_DROP tcp -- anywhere anywhere tcp flags:ACK,URG/URG
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:www
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssmtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:nntp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain
ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:mysql
ACCEPT udp -- anywhere anywhere state NEW udp dpt:ntp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:6060
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ircd
MY_REJECT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:svn
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:3980

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
LOG all -- anywhere anywhere state INVALID limit: avg 2/sec burst 5 LOG level warning prefix `OUTPUT INVALID '
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-request
MY_REJECT all -- anywhere anywhere

Chain MY_DROP (7 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `PORTSCAN DROP '
DROP all -- anywhere anywhere

Chain MY_REJECT (2 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT TCP '
REJECT tcp -- anywhere anywhere reject-with tcp-reset
LOG udp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT UDP '
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
LOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `DROP ICMP '
DROP icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `REJECT OTHER '
REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
[/code]

Hier noch meine svnserve.conf, an der duerfte aber eigentlich alles passen, da ich einen zweiten rechner habe, der mit der identischen config am netz haengt und funktioniert.

[code]
### This file controls the configuration of the svnserve daemon, if you
### use it to allow access to this repository. (If you only allow
### access through http: and/or file: URLs, then this file is
### irrelevant.)

### Visit http://subversion.tigris.org/ for more information.

[general]
### These options control access to the repository for unauthenticated
### and authenticated users. Valid values are "write", "read",
### and "none". The sample settings below are the defaults.
  1. anon-access = read
auth-access = write
### The password-db option controls the location of the password
### database file. Unless you specify a path starting with a /,
### the file's location is relative to the directory containing
### this configuration file.
### If SASL is enabled (see below), this file will NOT be used.
### Uncomment the line below to use the default password file.
password-db = passwd
### The authz-db option controls the location of the authorization
### rules for path-based access control. Unless you specify a path
### starting with a /, the file's location is relative to the the
### directory containing this file. If you don't specify an
### authz-db, no path-based access control is done.
### Uncomment the line below to use the default authorization file.
  1. authz-db = authz
### This option specifies the authentication realm of the repository.
### If two repositories have the same authentication realm, they should
### have the same password database, and vice versa. The default realm
### is repository's uuid.
  1. realm = My First Repository
grindhold = write
zigapeda = write
chefkoch = write
aniras = write
kevin = write


[sasl]
### This option specifies whether you want to use the Cyrus SASL
### library for authentication. Default is false.
### This section will be ignored if svnserve is not built with Cyrus
### SASL support; to check, run 'svnserve --version' and look for a line
### reading 'Cyrus SASL authentication is available.'
  1. use-sasl = true
### These options specify the desired strength of the security layer
### that you want SASL to provide. 0 means no encryption, 1 means
### integrity-checking only, values larger than 1 are correlated
### to the effective key length for encryption (e.g. 128 means 128-bit
### encryption). The values below are the defaults.
  1. min-encryption = 0
  2. max-encryption = 256
[/code]

Kann mein problem auch noch andere ursachen als iptables haben?
Auf dem Server lauffen ausserdem noch;
Apache2
fail2ban
MySQL
chkrootkit

Wenn IP-Tables: Kann ich diese irgendwie deaktivieren? Beim googeln fand ich einen hinweis drauf, dass es die moeglichkeit gibt per /etc/init.d/iptables stop diese auszuschalten, jedoch existiert dieser daemon in meinem system nicht.

In diesem Sinne schonmal danke an euch alle


grindhold
Mitglied: dog
27.01.2010 um 09:19 Uhr
Ich würde jetzt einfach mal sagen hier liegt dein Problem:
01.
MY_REJECT all -- anywhere anywhere 
02.
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:svn 
03.
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:3980 
Nach der Regelfolge würde deine Erlaubnis nie greifen...
Bitte warten ..
Mitglied: datasearch
27.01.2010 um 11:41 Uhr
Hallo,

gib mal bitte eine ausgabe von

iptables -nvL

und poste es diesmal mit < code >

Die Regeln sind verwirrend, da du oben nach TCP Flags filterst und weiter unten mit dem State-Modul arbeitest.

Auch hast du im oberem Dritten ein "ACCEPT all -- anywhere anywhere" stehen. Wenn das auf dem externem Interface liegt, wird hier ALLES ERLAUBT was nicht oben mit den tcpflags geblockt wird. Da du aber -P INPUT DROP verwendest, hat es wenig Sinn explizit zu blocken. Wenn da nicht noch mehr in der accept any any regel steht, sind alle weiteren Regeln inklusive Default-Policy unwirksam.

Die Regeln sollten so angelegt werden, das alles per Default verboten und nur ganz eng eingegrenzt deine Serverdienste erlaubt werden.


eth0=externes Interface
1.2.3.4= externe IP
01.
iptables -N ext-in 
02.
iptables -N avd-in-check 
03.
iptables -N icmp-ext 
04.
ipables -P INPUT DROP 
05.
iptables -A INPUT -i eth0 -d 1.2.3.4 -j ext-in 
06.
iptables -A INPUT -p icmp -j icmp-ext 
07.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
08.
iptabkes -A ext-in -p tcp --dport 3690 -m state --state NEW,ESTABLISHED -j adv-in-check 
09.
iptables -A ext-in -p udp --dport 3690 -m state --state RELATED,ESTABLISHED -j adv-in-check 
10.
iptables -A ext-in -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j adv-in-check 
11.
iptables -A adv-in-check -m state --state NEW -j LOG --log-prefix "NEW-CON: " 
12.
... weitere erweiterte Prüfungen für eingehende Verbindungen, z.B. L7, ascii usw.. 
13.
... jede regel enthält ein explizites ACCEPT. Alles andere wird verworfen. 
14.
iptables -A icmp-ext -i eth0 -p icmp --icmp-type echo-rewuest -j ACCEPT 
15.
 
16.
und ausgehend das selbe 
17.
 
18.
iptables -N ext-out 
19.
iptables -A OUTPUT -o eth0 -s 1.2.3.4 -j ext-out 
20.
iptables -A OURPUT -p icmp -j icmp-ext 
21.
iptables -A ext-out -p tcp --sport 3690 -m state --state ESTABLISHED -j adv-out-check 
22.
iptables -A adv-out-check -m owner --uid-owner svn -j ACCEPT 
23.
iptables -A ext-out -p udp --sport 3690 -m state --state ESTABLISHED,RELATED -j adv-out-check
Wenn du nach diesem Prinzip deine Regeln aufbaust hast du weniger Ärger.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Hosting & Housing
gelöst Server von außen erreichen (3)

Frage von BromBarium zum Thema Hosting & Housing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...