deny.hosts; IP-Adressen Basierende Dienst Freigabe

M

monateng

New Member
Hi,

leider habe ich aber keinen Anhaltspunkt gefunden um einer IP-Adresse nur einen Dienst Freizuschalten.
Meine deny.hosts sieht so aus:
Code: 
ALL : ALL
Wie müsste nun der Eintrag für die hosts.allow aussehen, damit für die IP-Adresse 1.1.1.1 der ssh und
die IP-Adresse 1.1.1.2 der Apache Freigegeben wird?
So sieht mom. die hosts.allow aus:
Code: 
sshd : ALL
www : ALL
 
Du blockst alle IPs für ALLE Dienste? :eek:
Naja gut, für dein Vorhaben würde ich eher auf eine Lösung mit iptables oder der Firewall deines Vertrauens raten.

Da kannst du dann einfach eine, wenn du willst, deny any any Regel einbauen (in der Hoffnung du sitzt per Konsole an dem Rechner) und dann einzelne IPs für einzelne Dienste freischalten.
 
Hi djrick,

ich weis was ich damit alles Blocke. Allerdings gebe ich durch die hosts.allow wieder den Dienst ssh frei.
Eine Anmeldung an dem in der ssh-config stehenden Port ist somit von außen möglich!

Kennt nun jemand die Antwort auf die Frage?
=>IP-Adressen basierte Freigabe der Dienste in der hosts.allow <=
 
monateng said:
Kennt nun jemand die Antwort auf die Frage?
=>IP-Adressen basierte Freigabe der Dienste in der hosts.allow <=
Click to expand...
Ja.
Wie wäre es damit:
Code: 
sshd : 123.123.123.123
und falls du dir noch unsicher bist:
Code: 
man hosts.allow
 
Hi djrick,

ich kenne die manpage. Deine Angabe würde bedeuten, das du den sshd für die externe IP-Adresse 123.123.123.123 Freigeben würdest. Das ist allerdings nicht erwünscht.
Mir ist ja nur die Server-Adresse bekannt aber niemals die IP-Adresse des Client!

Wie kann ich also in der host.allow die Server IP-Adresse genau bestimmen?
 
Fragezeichen ?


Wenn ich das jetzt richtig verstanden habe, willst du auf deinem server alle Dienste blocken bis auf SSH vom eigenen Server und http vom eigenen Server?

Hab ich das so richtig verstanden?

Die host.allow ist dazu da, bestimmte Dienste allen, nur bestimmten netzwerken oder IP adressen frei zu geben.

Wenn ich dich richtig verstanden hab, brauchst du nur eine Firewall um die Ports von SSH und HTTP zu öffnen und den rest zu schließen.


Nachtrag:

Hast du 2 IP Adressen am Server und willst für die 1. nur SSH und für die 2. nur HTTP freigeben?
Bitte verbessere mich, wenn ich dich falsch verstanden habe.
 
Hi edisch,


ja richtig. Ich habe einen Server mit mehreren IP-Adressen. Das hätte ich auch im ersten Beitrag schreiben müssen!
Also:
IP-Adresse 1.1.1.1 für sshd
IP-Adresse 1.1.1.2 für apache2 => www

Wie müsste nun die host.allow aussehen damit das funzt?
 
Hallo monateng,
monateng said:
Wie müsste nun die host.allow aussehen damit das funzt?
Click to expand...
Sowas regelt man normal nicht über die hosts.allow / hosts.deny sondern über die "listen" Funktion des jeweiligen Servers.

Apache => /etc/apache2/apache.conf

Dort müsste sowas stehn wie: Listen * oder Liste *:80 oder Listen 80. Das ändert man in: Listen 1.1.1.1:80

Und genau so auch beim Dienst ssh.
 
Hi djrick,

ich frage doch extra Explizit nach einer Lösung!
Apache, MySQL, sshd und mein FTP-Server sind eben genauso konfiguriert.
Mein fail2ban arbeitet auch super. Leider bekomme ich in den letzten Tagen jedoch massenhaft Anfragen auf bekannten Windows und Linux Ports an IP-Adressen meines Servers.

Ich möchte nicht, dass überhaupt auf solche Anfragen dem Portscanner geantwortet wird. So hatte ich auch die hosts.deny / hosts.allow Sache verstanden.

Wie muss nun eine die Datei aussehen?
Gibt es ggf. einen anderen Lösungsansatz?
Der Server soll sich Tod-stellen bei Falschen Anfragen, den fail2ban aber nicht in seiner Arbeit und Wirkung beeinträchtigen.
 
You must log in or register to reply here.
Back
Top