# Apache.....server name

## Azerix

Hoi

Ik heb apache server draaien , de Clietns die gebonden ziijn aan  netwerk kunnen wel op mijn website surfen. Het werkt alleen maar in Local netwerk. Ik heb in apache2.conf "Server name <localhost>" gewijzigt in IP adres die ik van @home krijg. 

Hoe kan er voor zorgen dat iedereen kan op mijn webserver surfen?

Normal gesprken hoort gewoon te werken, want ik had het ingesteld dat ie moet naar IP adress luisteren en dat is outgoing IP.

Ik heb abonement breedband van @home, ik had @home gebeld , ik wou weten of ze de port 80 blokeren. En dat klotp ze blokeren port 80 wegens het veiligheid?  :Confused:  Kan het daar aan liegen?

----------

## adaptr

Als je ISP port 80 inkomend blokkeert dan is er helaas geen mogelijkheid om zelf een webserver op de normale HTTP poort te draaien...

Je kan eventueel een andere poort nemen, maar die zal je dan wel bij iedere link die je geeft naar je website moeten opgeven, http://mijn.website.nl:88 bijvoorbeeld.

De poort die je gaat gebruiken kan je in apache wijzigen, of met iptables.

----------

## Azerix

ooh zo , dus gewoon in document apache2 .conf ,  listen poort wijzigen naar 88, klopt dat? En als het niet werkt moet ik met iptables wijzigen, zo wel welke code moet ik gebruiken dan om in iptables poort 88 forwarden?

ikhad gisteren de ze code gebruikt

 *Quote:*   

> 
> 
>  iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to mijn_IP_address(die ik van @home krijg).

 

 en toen had ik geen verbinding meer met internet   :Wink: 

----------

## frenkel

Als je in apache.org 80 wijzigt in 88, moet je dat natuurlijk ook doen in je iptables. Voor de rest veranderd er namelijk niets.

Frank

----------

## adaptr

 *Azerix wrote:*   

> ooh zo , dus gewoon in document apache2 .conf ,  listen poort wijzigen naar 88, klopt dat? En als het niet werkt moet ik met iptables wijzigen, zo wel welke code moet ik gebruiken dan om in iptables poort 88 forwarden?
> 
> ikhad gisteren de ze code gebruikt
> 
>  *Quote:*   
> ...

 

Vanzelfsprekend, dit kan ook niet werken.

```
iptables -t nat -A PREROUTING -p tcp --dport 88 -i eth1 -j DNAT --to INTERN_ADRES
```

Tenzij deze machine direct aan het Internet hangt; dan is er niets nodig.

----------

## E.T.

Vele providers blokkeren alle poorten onder de 1024.  Neem best gewoon een poort daarboven, dan ben je zekerder.

----------

## Azerix

 *adaptr wrote:*   

>  *Azerix wrote:*   ooh zo , dus gewoon in document apache2 .conf ,  listen poort wijzigen naar 88, klopt dat? En als het niet werkt moet ik met iptables wijzigen, zo wel welke code moet ik gebruiken dan om in iptables poort 88 forwarden?
> 
> ikhad gisteren de ze code gebruikt
> 
>  *Quote:*   
> ...

 

Klopt, die PC is direct aangesloten op internet , want is een router(gentoo). Dus ik moet deze proberen 

iptables -t nat -A PREROUTING -p tcp --dport 88 -i eth1 -j DNAT --to IP adress van @home. 

Gewoon aan het eind ip adress die ik van @home krijg?

----------

## garo

De regel voor portforwarding moet op de router gebeuren en daar moet achter "--to" je intern ip van je server komen.

----------

## Azerix

ik had vandaag @home gebeld en ze bllokeren  poort 80 niet , in iedere gevaal ik had in apache2.conf niks gewijigt, maar het lukt mij niet om mijn webserver te kunnen hosten over internet. Ik kan mijn webserver wel benaderen via andere clients die zijn aagesloten op netwerk, gewoon met IP adress. Maar via internet lukt  niet. 

Ik heb ook  geforward poort 80 naar internet IP adress, in dit gevaal is 192.168.0.1.

 *Quote:*   

> 
> 
> iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.1
> 
> 

 

Maar het werkt nog steds niet.   :Confused: 

Normal gesporken hoort het gewoon te doen.  :Sad: 

----------

## adaptr

Okee, nogmaals:

- apache kan je gewoon "normaal" draaien op poort 80.

Als je niet zeker weet of je de configuratie goed gedaan hebt, verplaats dan de config files en emerge hem opnieuw - de standaard installatie werkt gewoon.

- als deze machine direct aan het internet hangt - dat betekent: aan het MODEM, en nergens anders aan - hoef je helemaal niets met iptables in te stellen - deze machine ontvangt alle verzoeken zelf.

- als je het wilt testen ben ik graag bereid om het een en ander te pingen, ook ssh vind ik prima.

Ik hoor het wel.

----------

## Azerix

Nou , met apache heb ik geen problemen die start gewoon op en ik kan gewoon mijn website zien en ook via andere Computers die zijn verbonden aan het netwerk. Met andere worden hij draait denk ik allen maar intern. Maar ik wil hem wel dat ie ook extern draait , dat andere mensen op internet kunnen hem ook ziene. Mijn adress is http://82.75.12.31 . Kijk of je kunt hem bereiken.

----------

## garo

Ik heb nmap enkele poorten laten testen:

Degene <1024 die ik heb getest worden geblokt een firewall (waarschijnlijk van je provider)

Degene >1024 die ik heb getest worden niet geblokt een firewall.

Je zal je router een poort boven 1024 moeten laten forwarden naar poort 80 van je server (de configuratie van de server moet niet veranderd worden)

```
iptables -t nat -A PREROUTING -p tcp --dport EEN_POORT_GROTER_ALS_1024 -J DNAT --to 192.168.0.56:80
```

EDIT:Ik ga er van uit dat 192.168.0.56 het adres van je server is

EDIT2:Als je het goed hebt gedaan kan je nu van binnen je netwerk je apache ook bereiken op INTERN_IP_ROUTER:POORT_GROTER_ALS_1024

----------

## Azerix

mijn intern adress is 192.168.0.1 en ik kan wel bereiken mijn webserver met http://192.168.0.1 binnen mijn netwerk, dat is geen probleem. En waarom zou ik boven 1024 gebruiken als ik ISP poort 80 niet blokeert

Kan het mieschien aan mijn firewall liegen? zo wel , hoe kan hem uit zetten?

----------

## garo

1) Jij of je provider heeft een firewall die de poorten onder 1024 blokt.

2) Hoogst waarschijnlijk is dit je provider, aangezien veel providers dit doen. Als jij het was zou je het wel weten, post om zeker te zijn is alle iptables-regels die je router gebruikt:

```
iptables -L -v && iptables -t nat -L -v && iptables -t mangle -L -v
```

Als je iptables ook op je server gebruikt post daar dan ook alle regels van.

3) Als het je provider is die de poorten blokt zal het ONMOGELIJK zijn voor bezoekers om je server op een poort onder 1024 te bereiken.

Gebruik nu gewoon de iptablesregel die ik vorig bericht gaf, en test dan of dit werkt : http://82.75.12.31:POORT_GROTER_ALS_1024, ook http://192.168.0.1:POORT_GROTER_ALS_1024  zou moeten werken.

Vervang "POORT_GROTER_ALS_1024"  natuurlijk door een poort boven 1024 die je kiest.

EDIT:

Vergeten te vragen:

-Klopt dit schema  ?

INTERNET ----------- (82.75.12.3) ROUTER (192.168.0.1) ---------- (192.168.0.56) SERVER

----------

## Azerix

1) Ik had vanmiddag  @home gebeld, en ze zeiden van dat ze poort 80 niet blokeren of het kan ook zijn dat ze liegen. Ik denk dat mijn router poort 80 blokeert. Een kennis van me heeft ook zelfde ISP en hij heeft ooit apache gedraaiet op windows en die was gelijk verbonden met Internet en het werkte gewoon.

Ik heb je code gebruikt om te ziene welke regels zijn dat precies, ik heb hele boel tekst gekregen maar, het ging ook snel maar past niet alles in beeldscherm:

 *Quote:*   

> 
> 
> 12__684 DNAT___tcp -- eth1 ___ any ____ anywhere_________anywhere
> 
> ____ tcp_ dpt:www to:192.168.0.1
> ...

 

2) Het schema die je getekent had, klopt wel .

 *Quote:*   

> 
> 
> INTERNET ----------- (82.75.12.31) ROUTER (192.168.0.1) ---------- (192.168.0.56) SERVER
> 
> 

 

Alleen ik snap niet wat je bedoelt met server 192.168.0.56, even voor de duidelijkheid 

 *Quote:*   

> 
> 
> eth1 is WAN = verbonden direct met modem= automatisch ip van ISP
> 
> eth0= statisch IP= aangewezen 192.168.0.1
> ...

 

dat is alles.

Maar ik ga het volgende proberen, je code om poort 1024 towijzen naar poort 80

 *Quote:*   

> 
> 
> iptables -t nat -A PREROUTING -p tcp --dport 1030 -J DNAT --to 192.168.0.1:80
> 
> 

 

Moet ik ook dan in apache2.conf bestand de  listen poort op 1030 wijzigen? want ik heb hem op 80 staan.

----------

## garo

 *Azerix wrote:*   

> 1) Ik had vanmiddag  @home gebeld, en ze zeiden van dat ze poort 80 niet blokeren of het kan ook zijn dat ze liegen. Ik denk dat mijn router poort 80 blokeert. Een kennis van me heeft ook zelfde ISP en hij heeft ooit apache gedraaiet op windows en die was gelijk verbonden met Internet en het werkte gewoon.
> 
> Ik heb je code gebruikt om te ziene welke regels zijn dat precies, ik heb hele boel tekst gekregen maar, het ging ook snel maar past niet alles in beeldscherm

 

Ik zou toch alle regels moeten hebben als je denkt dat jij de poorten blokt ipv je ISP. Als je het volgende commando uitvoert wordt alles in bestand "bestand" opgeslaan ipv op het scherm getoond:

```
iptables -L -v > bestand && iptables -t nat -L -v >> bestand && iptables -t mangle -L -v >> bestand
```

(Het is geen typfout dat ik de eerste keer maar 1 ">"-teken gebruik)

 *Quote:*   

> 2) Het schema die je getekent had, klopt wel .
> 
>  *Quote:*   
> 
> INTERNET ----------- (82.75.12.31) ROUTER (192.168.0.1) ---------- (192.168.0.56) SERVER
> ...

 

Ik dacht dat 192.168.0.56 het ip van je server was, niet ?

Je router en je server zijn toch 2 verschillende computers, of heb ik dit verkeerd begrepen ?

 *Quote:*   

> Maar ik ga het volgende proberen, je code om poort 1024 towijzen naar poort 80
> 
>  *Quote:*   
> 
> iptables -t nat -A PREROUTING -p tcp --dport 1030 -J DNAT --to 192.168.0.1:80
> ...

 

Nee, apache moet op 80 blijven staan, maar dit zal niet werken, achter "--to" moet het ip van je server, niet van je router komen.

----------

## Azerix

 *Quote:*   

> 
> 
> Ik dacht dat 192.168.0.56 het ip van je server was, niet ? 
> 
> Je router en je server zijn toch 2 verschillende computers, of heb ik dit verkeerd begrepen ? 
> ...

 

Ik heb geen aparte router, mijn router is mijn Computer (gentooo),  mijn Computer is router en een server, webserver. 

Van modem ------naar eth1 van eth0 ----------- naar switch 8 poort, en aan die die switch zijn andere computers aangsloten.

/etc/conf.d/net

eth1 = automatisch ip van @home

 eth0 = statish ingesteld 192.168.0.1

Ik snap code niet helemaal: wat bedoel je met >> bestand, welke bestand ?

 *Quote:*   

> 
> 
> iptables -L -v > bestand && iptables -t nat -L -v >> bestand && iptables -t mangle -L -v >> bestand
> 
> 

 

En hoe kan ik de firewall uit zetten? ik wil dat eerst proberen.  :Confused: 

----------

## garo

Ik was alles aan t proberen op te lossen er vanuit gaande dat je router en server 2 computers waren, logisch dat dit met 1 pc niet werkt.

 *Quote:*   

> Ik snap code niet helemaal: wat bedoel je met >> bestand, welke bestand ?

 

Vervang "bestand" door de naam van een bestand dat niet bestaat, dan zal alle uitvoer in dit bestand terecht komen in plaats van op het scherm en dan kan je het makkelijker posten.

Dus, We beginnen van scratch:

Met 1 computer wordt het een heel stuk eenvoudiger, verander gewoon in de apache configuratie je poort in een poort boven 1024 (1030 zoals je wou nemen is goed). De iptables regels die in dit topic zijn aangeraden zijn nu allemaal niet nodig. Je server moet nu bereikbaar zijn als: http://82.75.12.31:1030

EDIT: Post  eerst alle iptables regels voor je je firewall afzet, dan kan je die later makkelijk aanzetten

EDIT2: Mijn eerste edit is de reden dat ik je niet heb gezegd hoe je je firewall afzet

----------

## Azerix

Klopt, het werkt nu wel http://82.75.12.31:1030 . Dus @home blokeert toch poort 80?  :Confused: 

ik snap het niet welke bestand bedoelde je precies? wat voor een bestand?

 *Quote:*   

> 
> 
> Vervang "bestand" door de naam van een bestand dat niet bestaat
> 
> 

 

----------

## garo

 *Azerix wrote:*   

> ik snap het niet welke bestand bedoelde je precies? wat voor een bestand?
> 
>  *Quote:*   
> 
> Vervang "bestand" door de naam van een bestand dat niet bestaat
> ...

 

Een onbestaand bestand, bv: "/home/azerix/mijnfirewall":

```
iptables -L -v > /home/azerix/mijnfirewall && iptables -t nat -L -v >> /home/azerix/mijnfirewall && iptables -t mangle -L -v >> /home/azerix/mijnfirewall
```

----------

## Azerix

ok , dit is hem 

 *Quote:*   

> 
> 
> Regels zonder nut staan in cursief
> 
> Standaard table
> ...

 

Ik heb ook problemen met Putty , kan geen verbinding maken met server   :Confused:   Ik denk dat het ook aaan die firewall zit, ik wil hem uitzetten of  als het kan beveiligings niveau laag zetten?

MODERATOR GARO: Ik heb het een beetje aangepast om het leesbaarder te maken

----------

## garo

Jij blokt inderdaad alle poorten onder 1024.

Wie heeft je firewall geconfiguurd ? Want het is heel slecht gedaan, het staat vol met nutteloze en dubbele regels.

Laten we effe heel de firewall wissen:

```
iptables -F && iptables -t nat -F && echo "klaar"
```

De iptables-firewall bevat nu de standaard instellingen:

-Alles wordt doorgelaten

-Pakketjes worden niet veranderd (er is dus geen nat en geen portforwarding)

Op dit moment kan alleen je router online. Alle andere computers staan offline (want er is geen NAT meer). 

Laten we het veilig doen. We beginnen met alles dicht te gooien:

```
iptables -P INPUT DROP && iptables -P FORWARD DROP && echo "klaar"
```

Op dit moment zal ook je router niet meer op het internet en het thuisnetwerk geraken (hij kan data versturen naar internet en je thuisnetwerk maar hij kan het niet meer ontvangen).

Nu zorgen we ervoor dat je router terug op het thuisnetwerk zit (we zorgen er ineens ook voor dat hij data van zichzelf kan ontvangen).

```
iptables -A INPUT -i lo -j ACCEPT && iptables -A INPUT -i eth0 -j ACCEPT && echo "klaar"
```

Nu zorgen we ervoor dat je router data kan ontvangen van internet, maar ALLEEN als dit iets te maken heeft met data die hij zelf heeft verstuurd

```
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"
```

Nu zorgen we ervoor dat dit geldt voor de andere computers in het netwerk. We zorgen er ook ook ineens voor dat als zij iets sturen naar internet het lijkt alsof de router dit was (NAT):

```
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE && iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"
```

Nu zorgen we dat er van buiten kan geconnecteerd worden op poort 80 (je apache configuratie mag je terug op 80 zetten, aangezien jij alle poorten onder 1024 blokte):

```
iptables -p tcp -A INPUT --dport 80 -j ACCEPT && echo "klaar"
```

Nu heb je een deftige firewall die connecties op poort 80 doorlaadt.

Het kan zijn dat sommige dingen niet werken als je je kernel fout hebt geconfigureerd, als dit het geval zal er nu vanalles niet werken, je kan dit fixen met dit commando:

```
iptables -P INPUT ACCEPT && iptables -P FORWARD ACCEPT
```

Doe dit niet als alles werkt !

Als je dit laatste commando doet laat je firewall weer alles door, dus zeg het dan hier even dan helpen je wel met een nieuwe kernel zodat je terug wat beveiliging hebt.

----------

## Azerix

 *Quote:*   

> Waarom heb je aan het eind tussen haakjes klaar?
> 
>   moet het mischien niet ACCEPT, DROP of REJECT. of je bedoelt iets anders, met  "klaar"?

 

Dit zorgt er voor dat "klaar" wordt getoond als de commandos goed zijn uitgevoerd, anders wordt er niks getoond.

----------

## garo

Sorry, ik heb per vergissing mijn antwoord ineens in het bericht met jouw vraag gezet.

----------

## Azerix

Lol, je hebt mijn post helemaal verandert,  :Razz:   :Cool:  Its good to be a King "administrator". Nou ok in iederee gevaal ik probeer jouw manier, maar eerlijk gezeght ik heb geen zin om mijn kernel helemaal opnieuw instalieren, tenzij als alles goed zou gaan.

----------

## garo

Als je op voorhand wil weten of je je kernel moet herconfigureren post dan de uitvoer van dit commando hier:

```
grep IP_NF /usr/src/linux/.config
```

en als dit ook te veel uitvoer is kan je het ook eerst naar een bestand sturen:

```
grep IP_NF /usr/src/linux/.config > /home/azerix/bestand
```

Nog is sorry voor je post aan te passen...

----------

## Azerix

Geef niet oohr,

Ik heb jouw howto gevolgd, en sommige coden werken niet. Ik greek allerlei berichten. Voorbeeld:

als ik deze code probeer:

 *Quote:*   

> 
> 
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"
> 
> 

 

dan krijg ik het volgede 

 *Quote:*   

> 
> 
> iptables v1.2.11: -P requiers a chain and a policy
> 
> 

 

en vervolgens als ik deze wil proberen, dan krijg ik iets met bad rule

 *Quote:*   

> 
> 
> iptables -t nat -o eth1 -D POSTROUTING -j MASQUERADE && iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"
> 
> 

 

bad rule : bla......exist

dus het einige wat ik deed is iptables -p tcp -A INPUT --dport 80 -j ACCEPT && echo .  en verlongens  wijzig ik in apache listen poort naar 80, en dan mijn webserver is alleen beschikbaar op locale netwerk.

----------

## adaptr

Zucht.. ik zal het nogmaals proberen uit te leggen:

Aangezien deze machine direct aan het Internet verbonden is, is iptables niet nodig om de webserver te bereiken.

Het is alleen wel een heel goed idee om een firewall te configureren tegen aanvallen van buitenaf.

Dus: schakel iptables in zn geheel uit:

```
iptables -F

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -t nat -F

```

En probeer de webserver te bereiken.

----------

## garo

Deze 2 foutmeldingen komen door typfouten van mij (ik heb deze verbeterd in mijn oorspronkelijk bericht)

Probeer het nog is vanaf het begin van dat bericht.

Adaptr heeft gelijk, iptables is niet nodig voor de webserver te bereiken, maar iptables is wel nodig als je wilt dat alle andere computers ook online geraken en als je beveiliging van je netwerk wilt.

----------

## Azerix

Dat kan niet, als ik NAT uitzet dan heb ik totaal geen internet meer, aan de hand van NAT alle computers die verbonden zijn aan router(gentoo), krijgen het internet toegang. Of heb ik het verkeerd begrepen.

NAT = (Network Address Translation) door NAT krijgen de interne computers een intern IP adres, zoals 192.168.0.x en cetera.

----------

## garo

Dat klopt idd. Het is mogelijk om NAT te doen zonder iptables, maar dit is moeilijker en dan heb je het voordeel van een firewall niet.

----------

## Azerix

Garo, het werkt niet , ik krijg fout melding als ik deze code gebruik

 *Quote:*   

> 
> 
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "klaar"
> 
> 

 

 foutmelding is

 *Quote:*   

> 
> 
> iptables v1.2.11: -P Bad `RELATES´
> 
> 

 

----------

## adaptr

Je zult de oude (foutieve) rules eerst moeten verwijderen uit het opgeslagen opstartscript.

Bekijk hoe de huidige regels eruitzien met:

```
iptables -L

```

----------

## garo

Of je hebt "RELATES" ipv "RELATED" getypt, of "-P" ipv "-A".

Kan je het nog is proberen (begin van het begin zodat alle regels gewist worden, dan is er geen kans op dubbele regels)

----------

## Azerix

ik heb geen type fout gemaakt , dat weet ik zeker, ik had getypt wat er op stat, gewoon over type, en ik had deze keer goed gecontroleerd.

----------

## garo

Laten we is zien of we je kernel wel goed geconfigureerd is:

```
grep IP_NF /usr/src/linux/.config | grep -v ^\# > bestand
```

----------

## Azerix

dit is mijn config:

 *Quote:*   

> 
> 
> CONFIG_IP_NF_CONNTRACK=y
> 
> # CONFIG_IP_NF_CT_ACCT is not set
> ...

 

----------

## garo

Je kernel zou alle iptables commandos moeten aankunnen.

Gebruik je een 2.6 kernel?

Ik heb weeral een typfout van mij ontdekt in een commando,ik heb het ineens verbeterd.

Als je het nog niet hebt opgegeven, probeer het dan nog is.

En als er dan nog een foutmelding is probeer dan is overal waar "ESTABLISHED,RELATED" staat gewoon "ESTABLISHED" te zetten.

----------

## Azerix

Nou ok,  ik kan nog een keer proberen. 

Kopt, ijn kernel is 2.6.10

----------

## Azerix

Lukt niet, jammer, Garo.

Maar is er geen andere manier om firewall uitzetten? er moet toch een code zijn waar kan altijd aan/uit zetten firewall.

voorbeeld:

iptables bla blabla zet de f...ing firewall uit ?  :Confused: 

----------

## adaptr

Ik heb je die code al eerder gegeven.

----------

## Azerix

Dit bedoel je?

 *Quote:*   

> 
> 
> iptables -F 
> 
> iptables -P INPUT ACCEPT 
> ...

 

----------

## garo

Inderdaad, die code werkt perfect om de firewall UIT te zetten, maar wil je dit wel ?

En met de volgende code erbij werkt NAT (alleen NAT, firewall niet):

```
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE
```

Als je ons vertrouwt, dan kan je  een accountje bij maken waarmee we in ssh kunnen inloggen en dan kunnen we iptables wel voor jou regelen.

Als je dit wilt doen moet je ons wel rechten geven voor iptables te gebruiken, een ssh server gebruiken en de firewall afzetten:

```
iptables -F && iptables -t nat -F && iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE && emerge -u openssh && /etc/init.d/openssh restart && chmod +s /sbin/iptables
```

 en de username en pass naar iedereen  sturen in deze topic die je vertrouwt.

DENK HIER EERST GOED OVER NA.

----------

## Azerix

Nee, idd , ik wil dat niet, want iptables -F, dat reset de hele NAT, als ik dat doe dan heb ik in andere PC´s geen internet meer. 

Dit is idd beter "iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE" .

Ik zal er over na denken, alleen ik wil eerst even zelf met gentoo prutsen en meer leren. ik stuur je wel een mail Garo, over de ssh.

----------

## garo

```
iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE
```

is iets wat je NA :

```
iptables -F

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -t nat -F
```

doet als je wel nat maar geen firewall wil, als je het commando alleen doet zonder

```
iptables -F

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -t nat -F
```

eerst te doen zal je firewall nog steeds aan staan en zal je vreemde effecten krijgen indien de firewall problemen gaf.

----------

## goanookie

Heel handig en veel makkelijker dan zelf al je regels uitwerken. 

Config file aanpassen en klaar met die ipregels.

http://www.knowplace.org/netfilter/narc.html

Daaaaaaaaag

----------

## Azerix

veel dingen wil ik zelf instellen en dan weet ik het hoe het allemaal in elkaar zit, bedankt voor je infromatie goanookie  over NARC maar is niks voor mij, ik hou meer van handtmatige instelleingen

dddaaaaaaaaaaaaaaagggggggggggggggggggggggg     :Confused: 

----------

## Azerix

 *garo wrote:*   

> 
> 
> ```
> iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE
> ```
> ...

 

Dus ik moet eerst iptables -t nat -o eth1 -A POSTROUTING -j MASQUERADE en dan vervolgens

iptables -F

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -t nat -F

klopt dat???

----------

## garo

nee, exact omgekeerd

----------

## Azerix

Garo, je HOWTO werkt toch wel, ik had gewoon een type fout. In plats van comma tussen ESTABLISHED en RELATED, gebruikte ik een punt dus:

ESTABLISHED.RELATED, dat was mijn fout ik heb hem verbetrd met ESTABLISHED,RELATED.

Ik heb nu geen NAT firewall, maar en gewoone firewall. Webserver is ook bereikbaar op poort 80.

Dank je wel   :Very Happy: 

 *garo wrote:*   

> 
> 
> Laten we effe heel de firewall wissen:
> 
> ```
> ...

 

----------

## garo

Ik ga er van uit dat je NAT ook graag werkende krijgt   :Wink: 

Nu zijn er verschillende mogelijkheden.

Voor ik de juiste iptables regels kan geven heb ik wel wat informatie nodig:

Beantwoord voor elke computer achter de router de volgende vragen:

1) Wat is het ip van de computer ?

2) Mag deze computer op internet ?

3) Moet je firewall deze computer beschermen ?

Indien ja, beantwoord dan ook vraag 4

4) Draait deze computer servers ?

(Met server bedoel ik elk programma dat luistert op een bepaalde poort naar data van een computer op internet, ZELFS ALS ER NOG GEEN DATA NAAR DE COMPUTER OP INTERNET IS VERSTUURD.) (voorbeelden van servers zijn webservers,ftpservers,p2p programmas (kazaa,mldonkey,...))

Indien ja, probeer dan uit te zoeken op welke tcp of udp poort de servers draaien. Indien je het niet weet zeg dan gewoon de naam van het programma dat server speelt.

5) Mag deze computer alles op internet of alleen bepaalde dingen ?

(vb1: alleen surfen en niet op website x,y en z) (vb2:alles bevalve kazaa gebruiken)

----------

## Azerix

NAT werkt wel, alle computers in netwerk hebben Internet verbinding. Maar voor mogelijkheiden bedoel je precies? 

1) 82.75.12.31

2)Ja

3)Ja

4)Webserver apache2, en ook mieschien ooit FTP.

5)hij mag op internet, geen kaza

----------

## garo

De andere computers zouden normaal niet op internet kunnen, je hebt dit laatste commando dat ik aanraadde voor als het niet werkte toch niet gebruikt ?

```
iptables -P INPUT ACCEPT && iptables -P FORWARD ACCEPT
```

Want als je dat hebt gedaan heb je nu geen firewall.

----------

## Azerix

Klopt ik had dat wel gebruikt omdat ik wou verbinding hebben met internet.

 Maar als ik gentoo opstart dan zie ik wel dat firewall wel opstart, alleen ik heb nu geen nat firewall, gewoone firewaal van iptable.

vroeger bij het opstarten starte nat firewall mee,

Iptables NAT firewall starting [ok]

----------

## garo

Nee, je hebt geen firewall. Iptables draait wel en dit is theoretisch een firewall, maar met die laatste regel heb je gezegd "Laat al het verkeer door, het maakt niet uit wat".

Dus eigenlijk is er geen firewall.

Als je nu alle commandos van mijn howto terug ingeeft (behalve dat laatste natuurlijk) dan heb je een firewall zonder NAT.

Om nu de andere computers in je netwerk op het internet te laten geef je om af te sluiten dit commando:

```
iptables -A FORWARD -i eth0 -j ACCEPT
```

Nu hebben je andere computers een lichte beveiliging. Voor een goede beveiliging ga je de vragen die ik stelde goed moeten beantwoorden.

Uit jouw antwoorden blijkt dat er maar 1 computer achter de router staat ?!? Dit lijkt me vreemd... En het lijkt me nog vreemder dat deze het ip 82.75.12.31 heeft. Dit is een ip dat op internet gebruikt wordt, in thuisnetwerken zijn de ip's 99% van de tijd 10.x.x.x of 192.168.x.x.

----------

## Azerix

Nou , ik heb een tekening gemaakt. http://82.75.12.31/test.html

Ben benieuwd welke beveiligingen zijn nog beschikbaar.   :Rolling Eyes: 

----------

## adaptr

 *Azerix wrote:*   

> Klopt ik had dat wel gebruikt omdat ik wou verbinding hebben met internet.
> 
>  Maar als ik gentoo opstart dan zie ik wel dat firewall wel opstart, alleen ik heb nu geen nat firewall, gewoone firewaal van iptable.

 

Je hebt volgens mij na 3 pagina's Garo nog steeds problemen met de fundamentele concepten van een Linux firewall...  :Wink: 

- iptables is de userspace interface (het programma) naar de Linux kernel netfilter code voor netwerkmanipulatie.

- 1 van de dingen die je met netfilter kan doen is het programmeren van een stateful packet filtering firewall.

Er zijn vele definities van de term firewall, allemaal min of meer correct - afhankelijk van de context waarin ze gebruikt worden.

Een NAT router is de meest eenvoudige implementatie van een gebruikers-firewall (deze beschermt de router zelf NIET!), aangezien met een paar simpele regels het anderen op het Internet fysiek onmogelijk gemaakt wordt om computers op je interne netwerk te bereiken.

Dat is 1 niveau van beveiliging; er zijn nog vele andere.

Een "echte" firewall in de zin van Cisco PIX of CheckPoint beperkt het werkelijke verkeer zowel van buiten naar binnen als ook van binnen naar buiten - alsof er isolatie-materiaal tussen jou en de buitenwereld ligt.

Dit is de klassieke betekenis van het woord firewall.

Voor de thuisgebruiker is NAT dus afdoende; voor een server die services aanbied op het Internet niet.

Tenzij je die server achter de NAT router zet en de poorten die je wilt serveren doorgeeft naar binnen toe - dat is de meest veilige oplossing.

Maar dat kost natuurlijk een extra computer.

----------

## garo

```
iptables -D FORWARD -i eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.18 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.19 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.20 -j ACCEPT
```

Met deze regels erbij kan niemand jouw computers bereiken, behalve als jouw computers zelf eerst iets naar deze persoon hebben gestuurd.

Er kan ook niemand een computer met jouw switch verbinden en surfen via jouw verbinding, dit is vooral handig voor als je later een accespoint aan deze switch hangt.

(De beveiliging om niet via jouw verbinding te surfen is makkelijk te omzeilen maar het zal toch 50% van de mensen tegen houden. Deze beveiliging kan nog verbeterd worden maar dan heb ik vrij veel info nodig: je DNS-servers en welke computers wat doen op internet (surfen,e-mail,ftp,msn,irc,...), je proxy indien die er is, je mailservers, je ircservers indien je irc gebruikt, je msnservers indien je msn gebruikt, je jabberservers indien je jabber gebruikt en waarschijnlijk nog een paar dingen waar ik nu niet op kan komen).

Op je tekening zie ik dhcp staan, bedoel je daarmee dat je router een ip krijgt van je provider of bedoel je dat al je computers een ip krijgen van de router ?

Als je ftp server ook op internet bereikbaar moet zijn moet je ook nog dit doen:

```
iptables -p tcp -A INPUT --dport 21 -j ACCEPT

iptables -p udp -A INPUT --dport 21 -j ACCEPT
```

----------

## Azerix

Jah ok, maar ik ga geen cisco router of switch of andere apparaten kopen, die zijn vet duur. Ik denk dat iptables, NAT firewall en een viruscanner zou wel genoeg zijn, voor een PC (gentoo) die word gebrukt als router, internet sharing, sommige servers(apache, ftp en cetc).

http://82.75.12.31/test.html

----------

## Azerix

 *Quote:*   

> 
> 
> iptables -D FORWARD -i eth0 -j ACCEPT 
> 
> iptables -A FORWARD -i eth0 -s 192.168.0.18 -j ACCEPT 
> ...

 

Het gaat mij meer om de hoofd computer, (Gentoo) Router zelf.

 *Quote:*   

> 
> 
> Op je tekening zie ik dhcp staan, bedoel je daarmee dat je router een ip krijgt van je provider of bedoel je dat al je computers een ip krijgen van de router ? 
> 
> 

 

Met DHCp bedoel ik dat de Hoofd PC is een router(Gentoo) die functioneert als DHCP. En ip adress 82.75.12.31 is en externet IP die ik van provider krigj en verolgens eth2 en dat intern IP die ik statish ingesteld had 192.168.0.1.

Mijn computers krijgen ip van het hoofd computer (Gentoo router).

----------

## garo

Negeer mijn laatste berichtje dan maar, want als je router een dhcpserver is wordt een stuk moeilijker om pc per pc te beveiligen aangezien je 3 pc's altijd andere ip's krijgen. De beveiliging die je nu hebt is voor een thuis netwerk wel genoeg.

----------

## Azerix

Jah dat denk ik ook. Maar wat adptr net zei over cisco router, Ik heb er over na ged8, ik vraag me af wat is nou better, een apparte router zoals Cisco, 3com of anderen. OF wat ik nou heb gewoon Gentoo gebruiken als router???

Ik weet een ding dat het verschill is tussen aparte router en gentoo, is dat

Gentoo als routers gebruiken - dat is meer software matig

Aparte routers als 3com en cetera - dat net zo veel hardware matig en softwarematig.

Klopt mijn meinig wel?

----------

## adaptr

Een router is per definitie een software-applicatie, die draait op hardware met meerdere netwerkaansluitingen.

Ik begrijp je verhaal niet helemaal - ik heb nergens gezegd dat je een losse firewall moet aanschaffen, dan heb je niet goed gelezen.

Wat ik geprobeerd heb te doen is een klein beetje uiteenzetten hoe deze concepten in elkaar zitten - zonder al te veel succes zo te zien   :Sad: 

Er is geen wezenlijk verschil tussen een aparte doos als firewall en een Linux systeem met netfilter - zolang ze goed werken beschermen ze je netwerk.

De criteria zijn - zoals altijd - eenvoud, geld, flexibiliteit.

Een Cisco PIX systeem is waarschijnlijk het meest flexibel, en zeker zwaar degelijk, maar kost je minimaal een slordige 5000 euries.

Een Sweex breedband routertje doet ook wat je wilt, tot op zeker hoogte, en is doodsimpel te bedienen; kost 50 euries.

Een Gentoo doos als router zowel als server is natuurlijk gratis - je hebt em al.

Maar zelf een afdoende netwerkbeveiliging configureren is verre van simpel.

You get what you pay for - always.

----------

