IPCop-Website von aussen erreichen

Aus IpcopWiki

Wechseln zu: Navigation, Suche

Grundsätzlich gibt es mehrere Möglichkeiten, wie man die IPCop-Website von aussen erreichen kann.

Die hier vorgestellten Möglichkeiten schwächen das System und beeinträchtigen die Sicherheit erheblich

Inhaltsverzeichnis

TCP-Forwarding

Voraussetzung auf dem Client

Als Software wird putty eingesetzt, zusätzlich zu einem "handelsüblichen Browser".

Einstellung auf dem Cop

Auf dem Cop wird unter dem Punkt System und dem Unterpunkt SSH-Zugriff die TCP-Weiterleitung aktiviert. Zusätzlich muss der Cop irgendwie von aussen erreichbar sein, sowohl über SSH als auch (idealerweise) über eine bekannte rote IP-Adresse oder einen DNS-Namen.

Einstellung am Client

Am Client wird putty wie folgt eingestellt: Es wird unter SSH ein Tunnel angelegt, welcher vom lokalen Port (beispielsweise 1445) auf die grüne IP-Adresse der Firewall und den Port 445 verweist.

Funktionsweise

  • mit putty die Verbindung zum Cop öffnen und mit root anmelden.
  • den Browser öffnen und als Adresse https://localhost:1445 eingeben

externen Zugang bei Bedarf öffnen

Voraussetzung auf dem Client

Hierbei wird ebenfalls putty eingesetzt.

Voraussetzung auf dem Cop

Auf dem Cop wird die Software lynx benötigt, welche unter http://www.tom-e.de/binary.html zu haben ist

Einstellung auf dem Cop

Der Cop muss per SSH und über die bekannte rote IP-Adresse oder dem entsprechenden DNS-Namen erreichbar sein.

Einstellung am Client

Es sind keine besonderen Einstellungen am Client nötig.

Funktionsweise

  • mit putty die Verbindung zum Cop öffnen und mit root anmelden
  • auf der Kommandozeile folgenden Befehl eingeben
lynx https://localhost:445
  • auf der Website der Firewall bis zum Punkt Firewall und externer Zugang durchhangeln.
  • Den Port 445 eintragen und aktivieren
  • Den Webbrowser öffnen und die Firewall über die Adresse mit https://Firewall:445 aufrufen
  • lynx beenden und putty schliessen
  • nach erfolgter Arbeit unter externer Zugang den Port 445 einfach löschen.

Wenn Port 445 nicht geht

Die Fritz!Box z.B. sperrt Port 445 nach auswärts, so dass aus einem Fritz!Box-LAN ein entfernter (außerhalb des Fritz!Box-LANs) IPCop nicht per Port 445 erreicht werden kann. Abhilfe: SSL-Port 445 in 40405 ändern:

  • per SSH auf IPCop als root einloggen
  • in /etc/httpd/conf/httpd.conf "Listen 445" in "Listen 40405" ändern.
  • in /etc/httpd/conf/httpd.conf "<VirtualHost _default_:445>" in "<VirtualHost _default_:40405>" ändern.
  • in /home/httpd/cgi-bin/portfw.cgi "my @tcp_reserved = (81,222,445);" in "my @tcp_reserved = (81,222,445,40405);" ändern.
  • den Befehl "killall httpd" eingeben
  • danach den Befehl "httpd -DSSL"
  • in IPCop unter "Externer Zugriff" den Port 40405 freigeben.
  • https://adresse.des.ipcop:40405 sollte jetzt gehen.
  • Fertig!
Persönliche Werkzeuge