Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Holger Baumhof]

Hallo Marcus,

> TCP | Interface(Orange) | 172.16.17.1:80
> 
> nun
> 
> TCP | Interface(Orange) | 172.16.17.1:443
> 
> Und es funktioniert nicht! Allerdings kommt nun im Log tatsächlich der
> Rechner im Grünen Netz als Quelle (war vorher ja auch nicht).
> Rückblickend liegen meine ganzen Schwierigkeiten wohl an meinem
> transparenten Proxy.
> 
> Jedenfalls hab ich nun die Regel
> 
> TCP | allowednetworks | 172.16.17.1:443
> 
> und das tut, also so, wie es Tobias vorgeschlagen hatte. Finde ich auch
> geschickt, weil man dann genau steuern kann, welche Netzwerke
> funktionieren sollen.

das klingt für mich logisch: https geht ncht über den Proxy: also kommt
der Client direkt an.
Bei http fragt der Proxy stellvertretend für den Client.

LG

Holger
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo,

ich verstehe ipfire wohl immer noch nicht so richtig - ich hatte ja 
eigentlich eine Lösung für mein Problem gefunden - nun wollte ich von 
http auf https umstellen, also statt


TCP | Interface(Orange) | 172.16.17.1:80

nun

TCP | Interface(Orange) | 172.16.17.1:443

Und es funktioniert nicht! Allerdings kommt nun im Log tatsächlich der 
Rechner im Grünen Netz als Quelle (war vorher ja auch nicht). 
Rückblickend liegen meine ganzen Schwierigkeiten wohl an meinem 
transparenten Proxy.


Jedenfalls hab ich nun die Regel

TCP | allowednetworks | 172.16.17.1:443

und das tut, also so, wie es Tobias vorgeschlagen hatte. Finde ich auch 
geschickt, weil man dann genau steuern kann, welche Netzwerke 
funktionieren sollen.


Viele Grüße,

Marcus


Am 10.05.2016 um 10:38 schrieb T. Küchel:

Hallo Marcus,

ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich
habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was
der Musterlösung würdig wäre.

Bsp 1:

(aus der Datei /var/ipfire/firewall/config)

15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes
HTTPS - ORANGE cleese:443,ON,00:00,00:00,ON,Default
IP,443,dnat,second

sieht dann im Webinterface so aus:

TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443

* Da ist ein DNAT drin auf dem roten Interface der Firewall
* Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver
zugreifen können.

Bsp 2:
hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142)

18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all
may route 3142 to cleese in ORANGE - wg.
apt-cacher-ng,,00:00,00:00,,AUTO,,dnat,second

oder im Webinterface:

TCP | Alle | 172.16.17.2:3142

* kein NAT
* an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.)
dran, weil Port 3142 beim Belwuerouter gesperrt ist.


Bsp 3:

Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP
loch zum Musterlösungsserver:

20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,ON,,,cust_srvgrp,DMZtoServer,ORANGE
may route DMZtoServer ports to
server,ON,00:00,00:00,,AUTO,,dnat,second

* dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo
die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS)
TCP+UDP und 123 (NTP) UDP  drin sind.
* Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass
es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte
Sicherheitsproblem, dass ich mir ausmalen kann.


Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben?

Grüße, Tobias

TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer



Am 10.05.2016 um 07:26 schrieb Marcus Numrich:

Hallo Jörg,

nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch
gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P
Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend
sonst niemand hier - wieso? Wir sollten doch irgendwie alle
musterlösungsmäßig unterwegs sein...

Ein Sicherheitsproblem ist die Regel ja nicht, oder?

Viele Grüße,

Marcus


Am 09.05.2016 um 10:56 schrieb Jörg Richter:

Hallo Marcus,


es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy
fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage
vom IPFire aus - und dann natürlich vom orangen Interface.


Viele Grüße


Jörg Richter



Marcus Numrich  hat am 9. Mai 2016
um 09:12 geschrieben:

Hallo zusammen,

ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben
hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P

Also, die Regel lautet:

TCP | Interface Orange | 172.16.17.1:80

Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln
sind, soweit ich sehe, nicht nötig.

Gibt es da ein Sicherheits-Problem (Ich sehe keins)?

Viele Grüße,

Marcus

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[T . Küchel]

Hallo Marcus,

ich fände es in der Tat schön, wenn es eine Musterlösung gäbe, denn ich
habe bisher auch mehrere Regeln, und es wäre schön, wenn ich wüsste, was
der Musterlösung würdig wäre.

Bsp 1:

(aus der Datei /var/ipfire/firewall/config)

15,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,443,externes
HTTPS - ORANGE cleese:443,ON,00:00,00:00,ON,Default
IP,443,dnat,second

sieht dann im Webinterface so aus:

TCP | Alle | Firewall(ROT): 443 -> 172.16.17.2:443

* Da ist ein DNAT drin auf dem roten Interface der Firewall
* Idee ist, dass jetzt alle, von außen wie innen auf den WEbserver
zugreifen können.

Bsp 2:
hab ich noch zusätzlich einen apt-cacher am laufen (auf port 3142)

18,ACCEPT,FORWARDFW,ON,std_net_src,ALL,tgt_addr,172.16.17.2/32,,TCP,,,ON,,,TGT_PORT,3142,all
may route 3142 to cleese in ORANGE - wg.
apt-cacher-ng,,00:00,00:00,,AUTO,,dnat,second

oder im Webinterface:

TCP | Alle | 172.16.17.2:3142

* kein NAT
* an den kommt man nur von innen (rot,orange, grün subnetze, blau, etc.)
dran, weil Port 3142 beim Belwuerouter gesperrt ist.


Bsp 3:

Der Owncloud-server (alle meine rechner in Orange) brauchen ein LDAP
loch zum Musterlösungsserver:

20,ACCEPT,FORWARDFW,ON,std_net_src,ORANGE,tgt_addr,10.16.1.1/32,ON,,,cust_srvgrp,DMZtoServer,ORANGE
may route DMZtoServer ports to
server,ON,00:00,00:00,,AUTO,,dnat,second

* dabei ist "DMZtoServer" eine custom service group "Dienstgruppe", wo
die Ports 53 (DNS) TCP+UDP, 443 TCP, 389(LDAP) TCP+UDP, 636(LDAPS)
TCP+UDP und 123 (NTP) UDP  drin sind.
* Dass hier vermutlich nicht alle Ports nötig sind und auch nicht, dass
es für komplett "ORANGE" geöffnet wird, ist vermutlich das größte
Sicherheitsproblem, dass ich mir ausmalen kann.


Fazit: Was sollen wir als Musterlösung ins Handbuch schreiben?

Grüße, Tobias

TCP,UDP | ORANGE | 10.16.1.1:DMZtoServer



Am 10.05.2016 um 07:26 schrieb Marcus Numrich:
> Hallo Jörg,
> 
> nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch
> gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P
> Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend
> sonst niemand hier - wieso? Wir sollten doch irgendwie alle
> musterlösungsmäßig unterwegs sein...
> 
> Ein Sicherheitsproblem ist die Regel ja nicht, oder?
> 
> Viele Grüße,
> 
> Marcus
> 
> 
> Am 09.05.2016 um 10:56 schrieb Jörg Richter:
>>
>> Hallo Marcus,
>>
>>
>> es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy
>> fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage
>> vom IPFire aus - und dann natürlich vom orangen Interface.
>>
>>
>> Viele Grüße
>>
>>
>> Jörg Richter
>>
>>
>>> Marcus Numrich  hat am 9. Mai 2016
>>> um 09:12 geschrieben:
>>>
>>> Hallo zusammen,
>>>
>>> ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben
>>> hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P
>>>
>>> Also, die Regel lautet:
>>>
>>> TCP | Interface Orange | 172.16.17.1:80
>>>
>>> Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln
>>> sind, soweit ich sehe, nicht nötig.
>>>
>>> Gibt es da ein Sicherheits-Problem (Ich sehe keins)?
>>>
>>> Viele Grüße,
>>>
>>> Marcus

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Holger Baumhof]

Hallo Marcus,

> nachdem ich deine letzte Mail nochmal gelesen habe, habe ich auch
> gemerkt, dass die neue Regel ja genau das war, was du gesagt hattest :P
> Was ich aber noch gerne wissen würde: Diese Regel hat ja anscheinend
> sonst niemand hier - wieso? Wir sollten doch irgendwie alle
> musterlösungsmäßig unterwegs sein...

es haben wohl nicht viele von uns Webserver in Orange stehen.

Außerdem haben fast alle von uns eine Art DMZ vor dem IPFire, da das
noch immer hinter dem externen Router (z.B. BelWü) ist.
Da stelle ich meine Webserver rein (owncloud, moodle ..)

> Ein Sicherheitsproblem ist die Regel ja nicht, oder?

du hast eine Regel erschaffen, die es Grün und Blau erlaubt den
Webserver in Orange zu erreichen: in der Richtung ist das gewiss kein
Sicherheitsproblem.
Erst wenn du einen Zugang nach innen öffnest wird es problematisch.

Viele Grüße

Holger

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Jörg Richter]

Hallo Marcus,es scheint genau so zu sein, wie ich es geschrieben hatte: Der Proxy fängt die Anfrage ab und stellt sie selbst. Deshalb geht die Anfrage vom IPFire aus - und dann natürlich vom orangen Interface.Viele GrüßeJörg RichterMarcus Numrich  hat am 9. Mai 2016 um 09:12 geschrieben: Hallo zusammen,  ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben hat. Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P  Also, die Regel lautet:  TCP | Interface Orange | 172.16.17.1:80 Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln sind, soweit ich sehe, nicht nötig.  Gibt es da ein Sicherheits-Problem (Ich sehe keins)?  Viele Grüße,  MarcusAm 06.05.2016 um 11:03 schrieb Tobias Kuechel:Hallo Marcus,

nicht aufgeben, IPFire is a beast, kenn ich.

Grade bei mir getestet (wg. subnetting):

Bei mir sieht es so aus:

TCP Alle Firewall(ROT):443 -> 172.16.17.2:443

Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf
GRÜN beschränken sollte.
und die Regel geht nach ROT, weiß aber nicht warum.

Jetzt kommt der entscheidende Test:

* stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün

* stelle ich auf "allegruene" um, dann geht es wiederum

Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält,
schau mal den Screenshot an.

Gr+´e, Tobias

Am 05.05.2016 um 10:49 schrieb Marcus Numrich:
Hallo nochmal,

in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots,
wenns dann immer noch nix wird, dann geb ich es auf :P

Also nochmal zusammengefasst:

Webserver auf 172.16.17.1

Verbindung aus dem Internet und von einem Client, der mit OpenVPN
verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel).

Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt
ein merkwürdiger Log-Eintrag (Screenshot).

Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und
der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann?

Viele Grüße,H

Marcus


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

 ___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
 ___linuxmuster-user mailing listlinuxmuster-user@lists.linuxmuster.nethttps://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo zusammen,

ok, jetzt geht es, aber nicht so, wie irgendjemand hier beschrieben hat. 
Vielleicht hat ja jemand eine Idee, warum es so funktioniert :P


Also, die Regel lautet:

TCP | Interface Orange | 172.16.17.1:80

Das steht also dann unter 'Ausgehender Firewallzugang', andere Regeln 
sind, soweit ich sehe, nicht nötig.


Gibt es da ein Sicherheits-Problem (Ich sehe keins)?

Viele Grüße,

Marcus



Am 06.05.2016 um 11:03 schrieb Tobias Kuechel:

Hallo Marcus,

nicht aufgeben, IPFire is a beast, kenn ich.

Grade bei mir getestet (wg. subnetting):

Bei mir sieht es so aus:

TCP Alle Firewall(ROT):443 -> 172.16.17.2:443

Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf
GRÜN beschränken sollte.
und die Regel geht nach ROT, weiß aber nicht warum.

Jetzt kommt der entscheidende Test:

* stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün

* stelle ich auf "allegruene" um, dann geht es wiederum

Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält,
schau mal den Screenshot an.

Gr+´e, Tobias

Am 05.05.2016 um 10:49 schrieb Marcus Numrich:

Hallo nochmal,

in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots,
wenns dann immer noch nix wird, dann geb ich es auf :P

Also nochmal zusammengefasst:

Webserver auf 172.16.17.1

Verbindung aus dem Internet und von einem Client, der mit OpenVPN
verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel).

Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt
ein merkwürdiger Log-Eintrag (Screenshot).

Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und
der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann?

Viele Grüße,H

Marcus


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user



___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Tobias Kuechel]

Hallo Marcus,

nicht aufgeben, IPFire is a beast, kenn ich.

Grade bei mir getestet (wg. subnetting):

Bei mir sieht es so aus:

TCP Alle Firewall(ROT):443 -> 172.16.17.2:443

Bei mir ist also "Alle" an, weil ich gar nicht weiß, warum ich es auf
GRÜN beschränken sollte.
und die Regel geht nach ROT, weiß aber nicht warum.

Jetzt kommt der entscheidende Test:

* stelle ich auf "TCP GRÜN .." um, dann geht es nicht aus Grün

* stelle ich auf "allegruene" um, dann geht es wiederum

Was ist "allegruene"? EIne Netzwerkgruppe, die alle subnets enthält,
schau mal den Screenshot an.

Gr+´e, Tobias

Am 05.05.2016 um 10:49 schrieb Marcus Numrich:
> Hallo nochmal,
> 
> in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots,
> wenns dann immer noch nix wird, dann geb ich es auf :P
> 
> Also nochmal zusammengefasst:
> 
> Webserver auf 172.16.17.1
> 
> Verbindung aus dem Internet und von einem Client, der mit OpenVPN
> verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel).
> 
> Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt
> ein merkwürdiger Log-Eintrag (Screenshot).
> 
> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und
> der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann?
> 
> Viele Grüße,H
> 
> Marcus
> 
> 
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Jörg Richter]

Hallo Marcus,

Ich vermute, dass der Proxy auf dem IPFire zuschlägt und die Anfrage abfängt. 
Anschließend stellt der Proxy die Anfrage selbst, deshalb die Quelladresse 
...254.

Richte doch mal eine Regel ein, dass 172.16.17.254 auf 172.16.17.1 zugreifen 
darf (Port 80). Zum Testen der Hypothese kannst Du auch vorübergehend den Proxy 
deaktivieren - dann sollte es auch ohne die neue Regel gehen.

Viele Grüße

Jörg Richter

> Am 05.05.2016 um 12:20 schrieb Marcus Numrich 
> :
> 
> Hallo,
> 
> hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es sofort.
> 
> Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum sagt 
> er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port um die 
> 5? Dieser dort angegebene Port ändert sich außerdem ständig, liegt aber 
> immer etwa in dem Bereich.
> 
> Viele Grüße,
> 
> Marcus
> 
>> Am 05.05.2016 um 11:38 schrieb Steffen Auer:
>> -BEGIN PGP SIGNED MESSAGE-
>> Hash: SHA1
>> 
>> Hallo Marcus,
>> 
>>> Am 05.05.2016 um 10:49 schrieb Marcus Numrich:
>>> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft
>>> und der mir klipp und klar sagen kann, wie man den aus grün
>>> ansprechen kann?
>> Mach doch die Regel mal offener.
>> Lass also mal beim Ziel die Portangabe weg.
>> 
>> Also Quelle grün (vielleicht auch mal "alle" statt "TCP")
>> Ziel: 172.16.17.1 (ohne Port)
>> kein NAT
>> 
>> Viele Grüße
>> Steffen
>> 
>> - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net
>> 
>> Mein System:
>> - - virtualisiert mit Proxmox 3.4
>> - - linuxmuster.net 6.1
>> - - IPFire 2.17 Core 99
>> - - Linbo 2.2.16-0
>> - - Ubuntu 12.04-Client
>> - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
>> - - Moodle extern (Belwue) per ldaps angebunden
>> 
>> Note:
>> No Microsoft programs were used in the creation or distribution of
>> this message. If you are using a Microsoft program to view this
>> message, be forewarned that I am not responsible for any harm you may
>> encounter as a result.
>> - 
>> Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
>> Überprüfung der Signatur ist hier hinterlegt:
>> pool.sks-keyservers.net
>> - 
>> -BEGIN PGP SIGNATURE-
>> Version: GnuPG v2.0.22 (GNU/Linux)
>> 
>> iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx
>> xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr
>> AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q
>> BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24
>> nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF
>> ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs=
>> =WSPN
>> -END PGP SIGNATURE-
>> ___
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Jesko Anschütz]

Hi :)

> Am 05.05.2016 um 12:20 schrieb Marcus Numrich 
> :
> 
> Hallo,
> 
> hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es sofort.
> 
> Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum sagt 
> er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port um die 
> 5? Dieser dort angegebene Port ändert sich außerdem ständig, liegt aber 
> immer etwa in dem Bereich.

Das ist der Quellport. Den bestimmt der Client. Er ist auch (i.d.R.) nicht 
vorhersehbar und deshalb darf in deiner FW-Regel kein Quellport angegeben sein 
in diesem Fall. 

LG Jesko 
> 
> Viele Grüße,
> 
> Marcus
> 
>> Am 05.05.2016 um 11:38 schrieb Steffen Auer:
>> -BEGIN PGP SIGNED MESSAGE-
>> Hash: SHA1
>> 
>> Hallo Marcus,
>> 
>>> Am 05.05.2016 um 10:49 schrieb Marcus Numrich:
>>> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft
>>> und der mir klipp und klar sagen kann, wie man den aus grün
>>> ansprechen kann?
>> Mach doch die Regel mal offener.
>> Lass also mal beim Ziel die Portangabe weg.
>> 
>> Also Quelle grün (vielleicht auch mal "alle" statt "TCP")
>> Ziel: 172.16.17.1 (ohne Port)
>> kein NAT
>> 
>> Viele Grüße
>> Steffen
>> 
>> - -- Wir sind nicht nur nett, wir sind sogar linuxmuster.net
>> 
>> Mein System:
>> - - virtualisiert mit Proxmox 3.4
>> - - linuxmuster.net 6.1
>> - - IPFire 2.17 Core 99
>> - - Linbo 2.2.16-0
>> - - Ubuntu 12.04-Client
>> - - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
>> - - Moodle extern (Belwue) per ldaps angebunden
>> 
>> Note:
>> No Microsoft programs were used in the creation or distribution of
>> this message. If you are using a Microsoft program to view this
>> message, be forewarned that I am not responsible for any harm you may
>> encounter as a result.
>> - 
>> Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
>> Überprüfung der Signatur ist hier hinterlegt:
>> pool.sks-keyservers.net
>> - 
>> -BEGIN PGP SIGNATURE-
>> Version: GnuPG v2.0.22 (GNU/Linux)
>> 
>> iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx
>> xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr
>> AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q
>> BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24
>> nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF
>> ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs=
>> =WSPN
>> -END PGP SIGNATURE-
>> ___
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo,

hilft alles nix, nur wenn ich als Quelle: Alle einstelle, dann geht es 
sofort.


Ich verstehe halt immer noch nicht diesen komischen Logeintrag - warum 
sagt er, die Quelle sei 172.16.17.254 (Oranges Interface) mit einem Port 
um die 5? Dieser dort angegebene Port ändert sich außerdem ständig, 
liegt aber immer etwa in dem Bereich.


Viele Grüße,

Marcus

Am 05.05.2016 um 11:38 schrieb Steffen Auer:

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hallo Marcus,

Am 05.05.2016 um 10:49 schrieb Marcus Numrich:

Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft
und der mir klipp und klar sagen kann, wie man den aus grün
ansprechen kann?

Mach doch die Regel mal offener.
Lass also mal beim Ziel die Portangabe weg.

Also Quelle grün (vielleicht auch mal "alle" statt "TCP")
Ziel: 172.16.17.1 (ohne Port)
kein NAT

Viele Grüße
Steffen

- -- 
Wir sind nicht nur nett, wir sind sogar linuxmuster.net


Mein System:
- - virtualisiert mit Proxmox 3.4
- - linuxmuster.net 6.1
- - IPFire 2.17 Core 99
- - Linbo 2.2.16-0
- - Ubuntu 12.04-Client
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
- - Moodle extern (Belwue) per ldaps angebunden

Note:
No Microsoft programs were used in the creation or distribution of
this message. If you are using a Microsoft program to view this
message, be forewarned that I am not responsible for any harm you may
encounter as a result.
- 
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
Überprüfung der Signatur ist hier hinterlegt:
pool.sks-keyservers.net
- 
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx
xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr
AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q
BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24
nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF
ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs=
=WSPN
-END PGP SIGNATURE-
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Steffen Auer]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hallo Marcus,

Am 05.05.2016 um 10:49 schrieb Marcus Numrich:
> Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft
> und der mir klipp und klar sagen kann, wie man den aus grün
> ansprechen kann?

Mach doch die Regel mal offener.
Lass also mal beim Ziel die Portangabe weg.

Also Quelle grün (vielleicht auch mal "alle" statt "TCP")
Ziel: 172.16.17.1 (ohne Port)
kein NAT

Viele Grüße
Steffen

- -- 
Wir sind nicht nur nett, wir sind sogar linuxmuster.net

Mein System:
- - virtualisiert mit Proxmox 3.4
- - linuxmuster.net 6.1
- - IPFire 2.17 Core 99
- - Linbo 2.2.16-0
- - Ubuntu 12.04-Client
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
- - Moodle extern (Belwue) per ldaps angebunden

Note:
No Microsoft programs were used in the creation or distribution of
this message. If you are using a Microsoft program to view this
message, be forewarned that I am not responsible for any harm you may
encounter as a result.
- 
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
Überprüfung der Signatur ist hier hinterlegt:
pool.sks-keyservers.net
- 
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXKxSyAAoJEBhc6lDKYVtJ5ywH/19W6d6b3HcyDkRDpZHjUMKx
xniAcEipkt7skiIpqT7eyJ385HdDlMLc/uuyxp1DlAKoqc4hs4WdRepFfz5q0ZGr
AfEJSz0DQflmREF2i8wgWy8FeEZwNroHOc4AK8yWy+NMyZ1CHqcfVP2/6kuzm97q
BAIDrhKahPfAOoBOmGCMqPksPaRyycPr4s9P+93gyOohu1+ylz/q8hl7bdWT/R24
nf5qZTsGCTxiCuF1OC1cKyYAkknA7sTPgQaqXHW6foqFm7pRLhBiqvh32LYn85cF
ydAIOuL/hqQZtZBObOvPQ/raVbOYb+J5utrYHyW2DGZ+RCOUjVtrub3N2S0GBAs=
=WSPN
-END PGP SIGNATURE-
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo nochmal,

in meiner Verzweiflung schicke ich jetzt nochmal ein paar Screenshots, 
wenns dann immer noch nix wird, dann geb ich es auf :P


Also nochmal zusammengefasst:

Webserver auf 172.16.17.1

Verbindung aus dem Internet und von einem Client, der mit OpenVPN 
verbunden ist (egal ob in Blau oder Rot) klappt (dank FW-Regel).


Verbindung aus Grün klappt nicht, trotz FW-Regel (Screenshot), es kommt 
ein merkwürdiger Log-Eintrag (Screenshot).


Gibt es denn hier niemanden, bei dem ein Webserver auf Orange läuft und 
der mir klipp und klar sagen kann, wie man den aus grün ansprechen kann?


Viele Grüße,

Marcus
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Holger Baumhof]

Hallo Marcus,

> Spontane Idee: Kann das was mit unseren Subnets zu tun haben?

wenn du von einem CLient im subnet Netz eine IP aufrufst, die nicht in
seinem subnet liegt, so geht die Anfrage an das Gateway: also den L3
Router mit seiner
10.x.y.254 als Gateway Adresse.
Er routet in das 10.16.1.x Netz.
Ist die Adresse auch nicht in diesem Netz (wie deine gewünschte 172er )
so geht es in dem Netz an den Router: das ist der IPFire: und damit ist
es ein Firewall Problem.

Du kannst das testen, indem du den L3 Router umgehst: einfach indem du
die Anfrage im Servernetz stellst: also von einem Client in 10.16.1.x
aus z.B. der Server.

So ist zumindest meine Vorstellung der ganzen Sache: und damit bestimmt
nicht der Weisheit letzter Schluss.

VIele Grüße

Holger
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo,

danke für das viele Input, aber von ROT (aus dem Internet) und per 
OpenVPN (auch aus BLAU / WLAN) ist der Webserver ja zu erreichen - ich 
komme aber nicht aus einem Rechner aus dem grünen Netz (Intern an der 
Schule) oder dem blauen Netz (WLAN ohne OpenVPN) auf den Webserver!


Ich habe gerade testweise mal als Quelle 'Alle' eingestellt (nicht 
grün). Dann tut es! Aus irgendwelchen Gründen lässt er mich also von 
einem Rechner aus dem grünen Netz nur dann auf den Webserver, wenn nicht 
ausschließlich das grüne Netz als Quelle angegeben ist.


Spontane Idee: Kann das was mit unseren Subnets zu tun haben?

Viele Grüße,

Marcus


Am 04.05.2016 um 09:25 schrieb Sven Röhrauer:

Hallo Willi,

Am 04.05.2016 um 08:41 schrieb Platzer, Willi [Lehrer]:

Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT 
eingeschaltet) immer zwei Wege konfiguriert werden müssen
z.B:
Rot -> fw-Regel -> gelb
gelb -> fw-regel -> rot

das stimmt meiner Meinung nach nicht. Die erste Regel
Rot -> fw-Regel -> gelb (orange)
ist notwendig. Sie ermöglicht das Erreichen des Webservers. Die Antwort
des Webservers wird dann ohne Regel durchgelassen.

Die zweite Regel ist für den normalen Betrieb nicht notwendig.
gelb (orange) -> fw-regel -> rot
Sie wird nur benötigt, wenn der Webservers selbst eine Anfrage ins
Internet initiiert, z.B. wenn er sich Updates holen soll.

Grüße,
Sven



___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Sven Röhrauer]

Hallo Willi,

Am 04.05.2016 um 08:41 schrieb Platzer, Willi [Lehrer]:
> Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT 
> eingeschaltet) immer zwei Wege konfiguriert werden müssen
> z.B:
> Rot -> fw-Regel -> gelb
> gelb -> fw-regel -> rot

das stimmt meiner Meinung nach nicht. Die erste Regel
Rot -> fw-Regel -> gelb (orange)
ist notwendig. Sie ermöglicht das Erreichen des Webservers. Die Antwort
des Webservers wird dann ohne Regel durchgelassen.

Die zweite Regel ist für den normalen Betrieb nicht notwendig.
gelb (orange) -> fw-regel -> rot
Sie wird nur benötigt, wenn der Webservers selbst eine Anfrage ins
Internet initiiert, z.B. wenn er sich Updates holen soll.

Grüße,
Sven



signature.asc
Description: OpenPGP digital signature
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Platzer, Willi [Lehrer]]

Hallo Marcus,
mit Bezug zur Nachricht vom 04.05.2016, 08:17:
> 
>> ich seh grad im Firewall-Log etwas Merkwürdiges:
>>
>> 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 
>> 5417980(HTTP) :
>>
> 
> Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine  
> Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet?

SORRY, ich war etwas verwirrt.
 das 172.16. er netz habe ich in Blau verortet.

Ich habe meine Netz-IPs anders verteilt 172.16 ist bei mir immer Bau für gelb 
habe ich die 192.168.0.0/24 oder 10.100.1.0/16 und höher ist Gelb

Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT 
eingeschaltet) immer zwei Wege konfiguriert werden müssen
z.B:
Rot -> fw-Regel -> gelb
gelb -> fw-regel -> rot

Denn die Anfrage-Pakete gehen hinein und es geht Antwort-Pakete hinaus.




-- 
Mit freundlichen Grüßen
Willi Platzer
(Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und 
Mediendidaktik )

Ich bin. Aber ich habe mich nicht. Darum werden wir erst.
E. Bloch
~~
.lehrerbüro.
. mailto:leh...@platzer-net.de
. telefon:.(+49)6151/136283
. mobile:.(+49)16097528937
. skype:platzer.willi?call
.studienseminar.für.berufliche.schulen.in.darmstadt
. http://sts-bs-darmstadt.bildung.hessen.de/
. telefon:.(+49)6151/3682510
. fax:.(+49)6151/3682519
.heinrich-emanuel-merck-schule
. http://www.hems.de
~~
.Diese E-Mail wurde digital signiert.
.Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt,
.ignorieren Sie bitte die angehaengte Signatur-Datei.



signature.asc
Description: OpenPGP digital signature
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Platzer, Willi [Lehrer]]

Hallo Marcus, danke für die Nachricht vom 04.05.2016, 08:17:

> ich seh grad im Firewall-Log etwas Merkwürdiges:
> 
> 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 
> 5417980(HTTP) :
> 

Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine  
Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet?


-- 
Mit freundlichen Grüßen
Willi Platzer
(Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und 
Mediendidaktik )

Ich bin. Aber ich habe mich nicht. Darum werden wir erst.
E. Bloch
~~
.lehrerbüro.
. mailto:leh...@platzer-net.de
. telefon:.(+49)6151/136283
. mobile:.(+49)16097528937
. skype:platzer.willi?call
.studienseminar.für.berufliche.schulen.in.darmstadt
. http://sts-bs-darmstadt.bildung.hessen.de/
. telefon:.(+49)6151/3682510
. fax:.(+49)6151/3682519
.heinrich-emanuel-merck-schule
. http://www.hems.de
~~
.Diese E-Mail wurde digital signiert.
.Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt,
.ignorieren Sie bitte die angehaengte Signatur-Datei.



signature.asc
Description: OpenPGP digital signature
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo nochmal,

ich seh grad im Firewall-Log etwas Merkwürdiges:

08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 
5417980(HTTP) :


Dort, wo also eigentlich das Ursprungs-Interface liegen müsste, kommt 
nix, und eine MAC wird auch nicht zugeordnet.


Viele Grüße,

Marcus


Am 03.05.2016 um 16:27 schrieb Sven Röhrauer:

Hallo Marcus,

um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel
angelegt (hier für Port 80, für Port 443 eine analoge Regel)

Quelle: Standard-Netzwerke: GRÜN

NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch
unten)

Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1

Protokoll: TCP / Zielport 80

Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch
unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des
Webservers

Grüße,
Sven

Am 03.05.2016 um 14:05 schrieb Marcus Numrich:

Hallo zusammen,

ich habe leider immer noch ein Problem, unseren Webserver von Grün oder
Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings
schon. Meine Firewallregel, die funktioniert:

TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80

-> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080)
auf Webserver (umgeleitet auf Port 80).


Was ich jetzt noch versucht habe:

AlleGRÜN   ->Firewall (GREEN):8080  ->
172.16.17.1:80

bzw.

AlleGRÜN->172.16.17.1:80

klappt aber beides nicht.

Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix
- andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit
der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag -
das verwirrt mich nun doch :P

Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von
Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft?

Vielen Dank und viele Grüße,

Marcus
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Marcus Numrich]

Hallo Sven,

was genau meinst du mit 'externe IP des Webservers?'

Ich will doch von Grün nach Orange, da hat unsere externe IP doch nix 
mit zu schaffen?


Und ich habe doch ein Firewall-Interface zum Webserver, eben Orange - 
ich habe diese Regel angelegt:


TCP: Quelle: Grün -> NAT Firewall-(Orange) -> 172.16.17.1 Zielport 80

Damit erhalte ich aber ein Connection refused.

Nochmal die Nachfrage: Funktioniert die oben beschriebene Regel bei 
jemanden? Wenn ja, dann liegt der Fehler irgendwo anders, vielleicht 
muss ich am virtuellen Link der VMWare noch was drehen.


Vielen Dank und viele Grüße,

Marcus


Am 03.05.2016 um 16:27 schrieb Sven Röhrauer:

Hallo Marcus,

um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel
angelegt (hier für Port 80, für Port 443 eine analoge Regel)

Quelle: Standard-Netzwerke: GRÜN

NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch
unten)

Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1

Protokoll: TCP / Zielport 80

Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch
unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des
Webservers

Grüße,
Sven

Am 03.05.2016 um 14:05 schrieb Marcus Numrich:

Hallo zusammen,

ich habe leider immer noch ein Problem, unseren Webserver von Grün oder
Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings
schon. Meine Firewallregel, die funktioniert:

TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80

-> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080)
auf Webserver (umgeleitet auf Port 80).


Was ich jetzt noch versucht habe:

AlleGRÜN   ->Firewall (GREEN):8080  ->
172.16.17.1:80

bzw.

AlleGRÜN->172.16.17.1:80

klappt aber beides nicht.

Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix
- andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit
der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag -
das verwirrt mich nun doch :P

Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von
Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft?

Vielen Dank und viele Grüße,

Marcus
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Steffen Auer]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hallo,

Am 03.05.2016 um 16:27 schrieb Sven Röhrauer:
> um einen Webserver aus grün erreichbar zu machen habe ich folgende
> Regel angelegt (hier für Port 80, für Port 443 eine analoge Regel)

Soll der Webserver nur eine Webseite anzeigen?

Wenn da Moodle, Owncloud oder andere Dienste mit Login drauf laufen
(sollen), würde ich dringend davon abraten, den Webserver überhaupt
nur per http (Port 80) erreichbar zu machen.

Mein Webserver ist ausschließlich per https (Port 443) erreichbar.

Viele Grüße
Steffen

- -- 
Wir sind nicht nur nett, wir sind sogar linuxmuster.net

Mein System:
- - virtualisiert mit Proxmox 3.4
- - linuxmuster.net 6.1
- - IPFire 2.17 Core 99
- - Linbo 2.2.16-0
- - Ubuntu 12.04-Client
- - Erweiterungen: Chillispot, Pykota, MRBS und OpenSchulportfolio
- - Moodle extern (Belwue) per ldaps angebunden

Note:
No Microsoft programs were used in the creation or distribution of
this message. If you are using a Microsoft program to view this
message, be forewarned that I am not responsible for any harm you may
encounter as a result.
- 
Diese E-Mail ist mit OpenPGP signiert. Der öffentliche Schlüssel zur
Überprüfung der Signatur ist hier hinterlegt:
pool.sks-keyservers.net
- 
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXKOoXAAoJEBhc6lDKYVtJJS4IAIaUwMdP9v2IBOR7YlkHX+2p
asKr1YG/G6Taa8FG5Yp5Xyz4BfBkReTTgRG5aKNg2mhEPMeH+K6qu/nRMgjpo057
hCQd7z7By4GWaY/dZBhdgWxFqkXYqj4rThbaPaQsytGH8rmOosRqO0GWiS3ldctT
0Y/dhe9XbgUHzyONlhSSNaQp6ZgM0X+Cu9G1xSRLyDL+B0M8eLE9hA8Ujx9F5z7W
cZ+9aqveBbEROzSnLRDvRXqWGJ2w1MKIRMYX4aDsuX9a9PjQGASbf0crmoVpJrPZ
EtmOdKqIVLvzCTe477XDzvbiH5gRciCM5/K1TaRBCYMe8GbeQvNl85xlrLOe3p4=
=AoZ7
-END PGP SIGNATURE-
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange

[Sven Röhrauer]

Hallo Marcus,

um einen Webserver aus grün erreichbar zu machen habe ich folgende Regel
angelegt (hier für Port 80, für Port 443 eine analoge Regel)

Quelle: Standard-Netzwerke: GRÜN

NAT: Destination-NAT, Firewall-Interface (Webserver --> siehe dazu auch
unten)

Zieladresse: IP des Webserver im orangenen Netz, vermutlich 172.16.17.1

Protokoll: TCP / Zielport 80

Falls du bei Firewall-Interface keinen Webserver hast, mus du den noch
unter Netzwerk > Aliase einrichten: Name: beliebig / IP: externe IP des
Webservers

Grüße,
Sven

Am 03.05.2016 um 14:05 schrieb Marcus Numrich:
> Hallo zusammen,
> 
> ich habe leider immer noch ein Problem, unseren Webserver von Grün oder
> Blau erreichbar zu machen. Von außen bzw. von VPN aus geht es allerdings
> schon. Meine Firewallregel, die funktioniert:
> 
> TCPGeoIP: DE->Firewall (ROT): 8080-> 172.16.17.1: 80
> 
> -> Erlaubt Zugriff von deutscher IP auf externe IP-Adresse (Port 8080)
> auf Webserver (umgeleitet auf Port 80).
> 
> 
> Was ich jetzt noch versucht habe:
> 
> AlleGRÜN   ->Firewall (GREEN):8080  ->   
> 172.16.17.1:80
> 
> bzw.
> 
> AlleGRÜN->172.16.17.1:80
> 
> klappt aber beides nicht.
> 
> Wenn ich jetzt im Browser http://172.16.17.1 eingebe, dann passiert nix
> - andererseits, wenn ich mit OpenVPN verbunden bin, dann klappt es mit
> der Adresse 172.16.17.1 aus dem Browser, ganz ohne Firewall-Eintrag -
> das verwirrt mich nun doch :P
> 
> Könnte mir jemand mal seine Firewallregeln schicken, die ein Zugriff von
> Grün nach Orange ermöglichen? Und wie man die Seite dann aufruft?
> 
> Vielen Dank und viele Grüße,
> 
> Marcus
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user