ufw: Webserver nur intern erreichbar machen

Xep22

Member
ich habe einen öffentlichen vServer, womit ich mich mit openvpn verbinde. da läuft unter anderem ein Webserver drauf. ich möchte aber jetzt, dass ich nur noch auf die Website zugreifen kann wenn ich per VPN verbunden bin. ich habe noch nie wirklich etwas mit firewall gemacht und etwas rumprobiert mit ufw aber es nicht hinbekommen.

Wie muss ich die Regeln anlegen ? so hätte ich gedacht sollte es klappen, tut es aber nicht. ich komme damit gar nicht mehr auf die Website vom Server, auf andere aber schon.

Sobald eine Regel zutrifft werden die nächsten ignoriert - oder ?

Code:
To                         Action      From
--                         ------      ----
Anywhere                   ALLOW       87.XXX.XXX.XXX
Anywhere                   ALLOW       10.8.0.0/24
80/tcp                     DENY        Anywhere
80/tcp (v6)                DENY        Anywhere (v6)

Mit diesem Regelset komme ich auch ohne vpn drauf, da ich meine jetzige IP zuhause erlaubt habe. wieso klappt aber nicht das da oben mit der server ip und interne ip ?

Code:
To                         Action      From
--                         ------      ----
Anywhere                   ALLOW       87.XXX.XXX.XXX
Anywhere                   ALLOW       10.8.0.0/24
Anywhere                   ALLOW       48.XXX.XXX.XXX
 
Last edited:

Xep22

Member
Nachtrag:

PHP:
<?php echo $_SERVER['REMOTE_ADDR'];

das gibt meine IP von zuhause aus trotz VPN verbindung sehe ich gerade. das wirds sein. aber wieso ist das so?
 

Demmerle IT

Linux IT Dienstleistungen
VPN ist nicht gleich VPN.
Du tunnelst den VPN Traffic auf Port 80 offenbar nicht.
Dementsprechend rufst du deinen Webserver mit deiner public IP auf.
Anderer Ansatz, wenn du die FW weglassen willst:
Binde deinen Webserver auf eine interne IP, auf die du vom VPN aus Zugriff hast.
 

mr_brain

Registered User
VPN ist nicht gleich VPN.
Du tunnelst den VPN Traffic auf Port 80 offenbar nicht.
Dementsprechend rufst du deinen Webserver mit deiner public IP auf.
Anderer Ansatz, wenn du die FW weglassen willst:
Binde deinen Webserver auf eine interne IP, auf die du vom VPN aus Zugriff hast.

OpenVPN ist tap OSI-Layer 2 oder tun OSI-Layer 3. TCP/UDP ist OSI-Layer 4.

TCP/UDP mit seinen Ports (u.a. 80) hat somit nichts mit dem openVPN-Tunnel zu tun.
 

GwenDragon

Registered User
Früher hätte man den Webserver lokal/im LAN laufen lassen und dann über SSH oder nc getunnelt. Aber ich denke, das ist eher nicht geeignet für den Nutzer.
 
Top