---

Jeg kan simpelthen ikke finde ud af at få HTTP til at køre uden at skulle
åbne for alt adgang mellem port 80 og 3000!
Hvad gør jeg galt? er der mon noget andet der hindre/blokere eller som HTTP
bruger i stedet for?

Jeg har en teledk ADSL opkøbling, og lavet min firewall i ipchains i kernel
2.2.x

vh. Peter

---

"Peter Andersen" <peterandersen@e-box.dk> writes:

> Jeg kan simpelthen ikke finde ud af at få HTTP til at køre uden at skulle
> åbne for alt adgang mellem port 80 og 3000!

Så er der noget galt. HTTP bruger kun port 80.

> Hvad gør jeg galt? er der mon noget andet der hindre/blokere eller som HTTP
> bruger i stedet for?

Hvad siger din logfil?

> Jeg har en teledk ADSL opkøbling, og lavet min firewall i ipchains i kernel
> 2.2.x

Jeg brugte selv tidligere ipchains (nu er jeg gået over til iptables i
2.4), og der virkede min webserver skam fint ved blot at åbne for port
80, og ellers køre DENY som policy på input-kæden.

--
Jacob - www.bunk.cc
The universe is all a spin-off of the Big Bang.

---

Hej Jacob Bunk Nielsen <spam@bunk.cc>

>> Jeg kan simpelthen ikke finde ud af at få HTTP til at køre uden at skulle
>> åbne for alt adgang mellem port 80 og 3000!
>
>Så er der noget galt. HTTP bruger kun port 80.

Mon ikke han forveksler et eller andet med source/destination port.
Det lyder lidt som at han får blokeret source-portene, der jo typisk
er unassigned high-ports, dvs. 1024+

>Jeg brugte selv tidligere ipchains (nu er jeg gået over til iptables i
>2.4), og der virkede min webserver skam fint ved blot at åbne for port
>80, og ellers køre DENY som policy på input-kæden.

Jeg er linuxidiot, men jeg troede man var gået over til Netfilter? Er
iptables egentlig stateful?

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <larskim@mail.com> writes:

> Mon ikke han forveksler et eller andet med source/destination port.

Det er meget muligt.
Den kommando der åbner for HTTP med ipchains kan fx være:

ipchains -A input -p tcp -j ACCEPT -s 0/0 -d 0/0 www -y

-A input for at tilføje den til input-kæden.
-p tcp fordi det er TCP
-j ACCEPT fordi det er noget vi godt vi have igennem.
-s 0/0 fordi det må være med en hvilken som helst source-adresse.
-d 0/0 www fordi det må være til en hvilken som helst
destinationsadresse på port www (80). Her kunne man blive lidt
paranoid og sætte den destinationsadresse i stedet.
-y fordi man tillader trafik hvor SYN-bitten er sat.

Man skal så også have en regel hvor man tillader trafik hvor
SYN-bitten ikke er sat. Det kan fx være:

ipchains -A input -p tcp -j ACCEPT \! -y

.... altså tillad al indgående trafik hvor SYN-bitten ikke er sat. Det
har naturligvis også sine risici, men er den letteste måde at gøre
tingene på når man ikke har stateful inspection.

> Jeg er linuxidiot, men jeg troede man var gået over til Netfilter? Er
> iptables egentlig stateful?

Jo, iptables ~= netfilter. Uden at jeg er ekspert, så kan jeg sige at
man skal compile netfilter-support med i kernen, og så ellers køre en
stak iptables-kommandoer. Hvad sammenhængen helt præcis er har jeg
ikke sat mig ind i.

Det er stateful. Jeg nyder fx at kunne lave en regel som:

iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

.... der tillader alt indkommende på block-kæden som er del af en
etableret forbindelse eller er relateret til en etableret
forbindelse.

Jeg er nu glad for netfilter/iptables i 2.4-kernen

--
Jacob - www.bunk.cc
Every time I think I know where it's at, they move it.