Zugriff von Internet verhindern

[donutfan]

Hallo liebe Gemeinde,

ich bin seit kurzem im Besitz einer DS211j. Momentan bin ich am einrichten und ausprobieren.
Ich möchte die Box als Webserver zur Entwicklung nutzen, und dies nur im Intranet.

Wie bekomme ich es nun hin den Webserver von Außen abzuschotten und höchstens mal für
einen Kundenblick freizugeben? Ich benutze eine Dyndns Konfiguration und diese leitet
bei Aufruf immer auf die Seite von phpmyadmin. Meine Webprojekte liegen jeweils in Unterverzeichnissen
wie "web/projekt1". Die DNS Adresse möchte ich vorwiegend für FTP nutzen.

Wenn ich das alles so nutze, würden die Seiten in der Entwicklung ja bereits gefunden
und von Suchmaschinen indiziert werden.

Ich hatte bereits in einem anderen Thread was gefunden mit einer .htaccess Datei. Ich weis
aber nicht ob dies das Gelbe vom Ei ist?!

(Hier wird ein Zugriff nur von IP Adressen mit 192.168.* zugelassen)

RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^192\.168.*$
RewriteRule ^.*$ - [forbidden]

Habt Ihr Ideen? Bzw. Lösungsvorschläge?

Schonmal vielen Dank im Voraus!

 

[jahlives]

Wieso leitest du denn den Port am Router weiter, wenn du keinen, Zugriff von extern willst?

 

[ag_bg]

So wie ich dich verstehe, möchtest du ja gelegentlich drauf zugreifen können. Deshalb würde ich eine htaccess setzen, damit ich generell Zugriff hätte und in dieser zum Beispiel google direkt mit ausschliessen. Gleichzeitig würde ich zusehen, dass ich ein Virtual Host auf einen anderen Zweig richte.
Zur Info bietet sich mal das an:http://de.selfhtml.org/servercgi/server/htaccess.htm

Ersatzweise kannst du auch den VPN-Server nutzen und den IP-Bereich freigeben. Somit kannst du auch von außen auf deinen Webserver zugreifen und kannst Port 80 bzw. 443 getrost zulassen.

Ich persönlich habe das so gelöst, dass ich für nahezu jeden Zweck eine eigene Domain bzw. Subdomain habe und diese mit Virtual-Hosting umleite. füe das Protokoll, welches ich für die jeweilige Domain nicht möchte, habe ich einen generellen Ordner error mit einen redirect auf Google gelegt. Zusätzlich habe ich meine internen Seiten (Webalizer, PhpAdmin und Testseiten) auf den Adressbereich aus meinem Netzwerk und des VPN beschränkt.

best regards

 

[donutfan]

Guten Morgen,

erstmal vielen Dank für die Antworten.

Ich hab ne easyBox 803, und da ist der 80er Port automatisch offen, jedenfalls wurde er von mir nicht extra freigegeben.

Das mit der .htaccess klingt gut, jedoch fehlen mir da die Kenntnisse das vernünftig zu realisieren. Und wie das mit den
vHosts funktioniert hab ich auch noch nicht so recht rausgefunden bzw. bin nicht dahinter gestiegen, da ich sowas zuvor
nie genutzt habe.

Gruß Robert

 

[ag_bg]

wenn du grundsätzlich erst einmal alles schliessen möchtest, lese dir einmal Seite 120 ff. im Handbuch deines Reuthers durch:

http://www.arcor.de/hilfe/files/pdf/DSL-EasyBox803-Arcadyan-20100412.pdf

best regards

EDIT S.138 ist eigentlich noch besser, da sollte eigentlich was eingestellt sein. Eventuell hast du die Einstellungen auch mit dem Routerkonfigurator der DS gemacht, dass kann ich aber nicht wissen.

 

[donutfan]

Ich mag ja nicht alles schließen, FTP soll ja grundsätzlich verfügbar sein.

Mir reicht es quasi den Zugang auf den Webserver von außen zu unterbinden.

RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^192\.168.*$
RewriteRule ^.*$ - [forbidden]

In wie weit ist dieser Codeschnipsel einer .htaccess dafür sinnvoll?
Lässt sich dieser vielleicht verbessern? Wenn ich diesen so in das "web"
Verzeichnis lege kommt ich von meiner *.dyndns.org Adresse nicht mehr
auf den Server, nur noch per Lokaler IP (192.168....)

 

[Herbert_Testmann]

Guten Morgen,

Ich hab ne easyBox 803, und da ist der 80er Port automatisch offen, jedenfalls wurde er von mir nicht extra freigegeben.

Ich hatte bis vor wenigen Tagen auch eine EB803A im Einsatz und da war kein Port "automatisch" offen, wenn das nicht unter NAT als Weiterleitung zur DS extra eingetragen war. Bist Du sicher, dass Du wirklich aus dem Internet zugreifst beim Testen und nicht aus Deinem eigenen Netz Deine DDNS Adresse direkt ohne Umweg über das Internet ansprichst? Die EasyBox merkt das und schickt die Datenpakete ggf. direkt ins interne Netz zurück.

So richtig verstanden habe ich die Frage im ersten Beitrag nicht.
Aber wenn Du nur FTP nutzen willst, dann leitest Du nur Port 21 in der EasyBox auf Deine DS. Ausserdem kannst Du in der Firewall der DS einstellen, dass nur Post 21 von aussen zu erreichen ist. Mit der Regel "alles erlauben für 192.168.xxx.*" kannst Du dann auch Port 80 im internen Netz nutzen.
Dann kommt niemand an Port 80, weil es 1. in der EasyBox nicht weiter geleitet wird und 2. die Firewall der DS es sperrt.

Viel Spass weiterhin mit der DS

 

[ag_bg]

So wie Testmann es schreibt, sehe ich es auch. Wenn du nur Port 21 wegen FTP benötigst, dann öffne den halt in deiner Easybox. Die Stelle im Handbuch habe ich dir ja genannt, da steht alles kleinlichste drinne, was du wissen mußt.
Solltest du htaccess nutzen wollen, benutze doch die einfacheren "Allow,Deny"-Regel als die Rewrite-Engine, die du mit hoher Wahrscheinlichkeit schwerer verstehst. Dazu ist der oben genannte Link bei selfhtml eigentlich bestens, da er dir die wesentlichen Funktionen kurz und bündig erklärt.
Beispiel für den Befehl:

# Datei zum Regeln von IP-Bereichen
Order deny,allow
Deny from .aol.com
Deny from 192.168
Allow from 192.168.220.102

best regards

 

[donutfan]

komisch, jetzt funktioniert der Zugriff über die Dyndns Adresse nur noch wenn ich den 80er Port im Router freigebe.
Keine Ahnung woran das liegt.

In der Nacht ging es definitiv auch ohne.

Ich werde mal etwas weiter probieren. Die Lösung mit der Firewall scheint mir ganz gut, was muss ich da einstellen,
damit ich nur vom Intranet (also 192.168....) zugreifen kann?

 

[ag_bg]

komisch, jetzt funktioniert der Zugriff über die Dyndns Adresse nur noch wenn ich den 80er Port im Router freigebe.
Keine Ahnung woran das liegt.

Entweder ich stehe grad auf dem Schlauch oder ich würde sagen: Das ist doch der Sinn!

Ich werde mal etwas weiter probieren. Die Lösung mit der Firewall scheint mir ganz gut, was muss ich da einstellen,
damit ich nur vom Intranet (also 192.168....) zugreifen kann?

So wie Testmann sagte 192.168 erlauben und unten verbieten setzen. Aber VORSICHT, sperr dich nicht aus der DS aus.

best regards

 

[Herbert_Testmann]

So wie Testmann sagte 192.168 erlauben und unten verbieten setzen. Aber VORSICHT, sperr dich nicht aus der DS aus.

best regards

Du darfst ruhig "Herbert" sagen

Selbst aussperren geht nicht. Die Regeln werden geprüft und es kommt ein entsprechender Hinweis.

----------------------------

Firewall einschalten
unten anklicken ... wenn keine Regel zutrifft - verbieten
Zwei Regeln definieren
1. Alle Absender dürfen Port 80 und 21
2. Absender aus dem Netz 192.168.xyz.0 255.255.255.0 dürfen alle Ports

Wobei xyz sinnvoll Deinen Gegebenheiten anzupassen ist.

 

[ag_bg]

Du darfst ruhig "Herbert" sagen

Selbst aussperren geht nicht. Die Regeln werden geprüft und es kommt ein entsprechender Hinweis.

Die Logik überprüft aber nur den Zustand in dem Moment! Wenn sich aus irgendeinem Zufall die IP des Client-PC in dem Moment ändert, weil der DHCP keine Lust mehr hatte, darf man sich durchprobieren. An sich ist das auch nicht angenehm.

best regards

 

[donutfan]

Schönen guten Abend,

ich danke euch erst einmal für eure super Unterstützung, und vor allem schnell und geduldig!

Ich habe jetzt auf die Lösung mit der Firewall zurückgegriffen. Ich gebe für meine Lokalen IPs alles
frei, und was von außen kommt wird für die Webserver Ports geblockt. So kann ich auch mal kurzfristig
eine IP für externen Zugriff freigeben oder auch mal die Regel kurz abschalten. Ich denke das ist die
beste Lösung dafür.

Danke euch dafür!