Vito Alfano ha scritto:
Il giorno 24 luglio 2009 08.58, Stefano Villa<[email protected]> ha scritto:
Alessio Paravati ha scritto:
OK, escluso Iptables, ma non mi riferivo a quello, mi riferivo banalmente ad
httpd.conf.
Potrebbe essere qualche parte della conf che non faccia accedere da host
diversi dalla >lan del server.
Guarda in particolare la parte dei virtualhost.
Ed anche i log del webserver.
Httpd.conf mi sembra sano, ma qui mi serve qualche giorno, guida alla
mano e a sto punto me lo studio tutto, cala che mi è sfuggito
qualcosa...
I log del webserver non loggano proprio nulla se accedo con ip
pubblico, mentre loggano il giusto se accedo da lan
Ciao, io ti consiglierei di ottimizzare la configurazione di apache.
Ti basta trovare una sezione simile a questa all'interno del file
httpd.conf
# Listen: Allows you to bind Apache to specific IP addresses and/or
# ports, in addition to the default. See also the <VirtualHost>
# directive.
#
#Listen 3000
#Listen 12.34.56.78:80
Uhm, non credo sia qui il problema. Se funziona dalla LAN, httpd è in
ascolto sulla porta giusta, ovvero 80 di default.
Lo ha affermato lui stesso.
(e poi la sezione Bind address che ti consente di specificare su quale
indirizzo deve rimanere in ascolto apache)
Questo ormai è obsoleto (almeno mi pare).
Modifica il valore listen così da non essere obbligato a fare il nat
della porta 80 verso la porta 81 (io ti consiglio di abilitare ssl e
utilizzare la porta 443). Quindi spoasta la porta direttamente nella
configurazione di apache.
Perchè modificare il listen?
httpd.conf, di default, ascolta su ogni ip configurato sulla macchina : 80
Ha già specificato che il server funziona.
E poi perchè modificare il listen in 81 per "allinearlo" al nat 81 sul
router?
Semmai modifica 81 in 80 sul router. ;O)
Per la 443, a meno che non sia necessaria per questioni di servizzi
delicati, non la userei.
A che scopo installare i certificati per poi non usarli a dovere? Poi si
sa che gli smanettoni "preferiscono" l'ssl :O)
Se vuoi avere una configurazione sicura di apache ti consiglio di
modificare il file e creare dei domini virtuali così da non creare una
falla che possa compromettere il server.
Per farlo ti basta modificare la sezione:
<VirtualHost IP:PORT>
[...]
</VirtualHost>
Era proprio questo (a parte la questione della sicurezza) quello a cui
mi riferivo io.
Ma giusto per darci una guardata e verificare che non ci sia qualche vh
che impedisce l'accesso da host non-della-lan.
Ma mi pare di aver capito che abbia una httpd.conf abbastanza "default",
di conseguenza niente vh.
Per quanto riguarda il nat credo che sia corretto ciò che hai scritto
però io ti consiglierei anche una regola acl del tipo
access-list 101 remark Nat Server Apache
access-list 101 permit tcp any any eq 80
e poi
ip nat inside source static tcp <ip interno> 80 interface dialer0 80
Certo però poi il router potrà essere contattato SOLO sulla porta 80.
E a giiudicare dalla conf del router mandata nel primo post, c'è anche
un altro source static. Il chè vuol dire che servirà anche qualche altro
accesso.
Attenzione, non sto dicendo che è sbagliato questo che hai consigliato,
ma "di norma" lo si applica solo quando si conosce già il traffico che
si vuole far passare. Solitamente, ad esempio, tra due peer di
un'azienda con sedi dislocate in diversi posti geografici.
Oppure se Stefano ha già in mente che dovra accettare solo un certo
traffico, il consiglio è ottimo.
Ma è sempre bene valutare, non credi :O)
Un saluto.
Alessio
--
Caselle da 1GB, trasmetti allegati fino a 3GB e in piu' IMAP, POP3 e SMTP
autenticato? GRATIS solo con Email.it http://www.email.it/f
Sponsor:
Scegli Riccione Turismo per le tue vacanze al mare, lo specialista delle
vacanze per famiglie, biker, giovani, coppie, clienti daffari
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=9356&d=24-7
_______________________________________________
http://cug.areanetworking.it
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
