ComputerBase Menü
Aktuelles

[IPTABLES] statische IP-Adresse an 2te IP-Adresse vom Server weiter routen

C

cppnap

Lt. Junior Grade
Registriert
Nov. 2008
Beiträge
487
Guten Tag,

ich habe einen Server mit 2 IP-Adressen. Auf der einen IP-Adresse läuft eine offizielle Webseite die für Jedermann erreichbar ist.
Die 2te IP-Adresse ist aktuell noch nicht in Benutzung. Auf Diese soll jetzt ebenfalls eine Webseite gehostet werden, welche allerdings nur von einer festen Anzahl statischer IP-Adressen erreichbar sein soll.

Für die 2te Webseite wird ebenfalls ein SSL-Zertifikat installiert und soll dann über den Port 443 laufen.
Der Inhaber des Servers möchte nun, dass alle IP-Adressen direkt abgefangen werden, welche nicht zulässig sind.

Die zulässigen werden dann auf die andere IP-Adresse mit Port 443 geroutet.

iptables -t nat -A PREROUTING -s 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 2.2.2.2:443

die andere Idee wäre, dass ich den Port 443 weg lasse und den Apache anschließend so konfiguriere, dass er für die Portumleitung verantwortlich ist.


Frage ist jetzt, ist meine Konfiguration soweit vertretbar? Wie ist es mit den Paketen, die anschließend zurück müssen, da wir sicherlich ein POSTROUTING von 2.2.2.2 auf 1.1.1.1 gesetzt werden müssen?

Vielen Dank schon mal für eure Hilfe :-)
 
Hallo,

also vielleicht verstehe ich die Frage nicht richtig. Aber ich habe es so verstanden, dass auf der 2ten IP Adresse nur bestimmte IP-Adressen Zugriff haben sollen.

IP1:443 -> Für alle erreichbar

IP2:443 -> Nur für bestimmte IP-Adressen erreichbar


Wenn ich so etwas konfigurieren müsste, würde ich 2 Virtual Hosts im Apache konfigurieren (die jeweils auf eine IP Adresse lauschen).

In der Konfiguration für IP2:443 kannst du die Access Control Direktive von Apache nutzen oder eine .htaccess und somit die Zugriffe IP-basiert autorisieren.

Aber vielleicht trifft es dein Szenario nicht :)

Viele Grüße

Kazsu
 
Danke für deine schnelle Antwort :-)

IP1:80 ist für alle erreichbar. IP2:443 ist nur für die fixen IP-Adressen verfügbar. Grundsätzlich würde ich das auch einfach über den Apache konfigurieren.

Der Besitzer des Servers möchte aber aus persönlichem Interesse, dass alle IP-Adressen bis auf die Statischen für die IP2 gar nicht erst bis zum Apache durch kommen sondern von der Firewall schon geblockt werden.

Die Vorstellung trifft in etwa so zu:

static IP -> IPTables routet auf 2te IP-Adresse und blockt alle nicht gesetzten IPs -> Apache von 80 auf 443 für Alle die dürfen.
 
Ich verstehe noch nicht so ganz, warum du von "routing" sprichst? Sollen Zugriffe auf IP1, die von den speziellen QuellIPs kommen, automatisch auf IP2 umgebogen werden?

Ansonsten pro erlaubter QuellIP eine INPUT Regel bauen mit -s "erlaubteQuellIP-n", -d "IP2", --dport 443 und -j ACCEPT. Alles andere verwerfen. Das könnte man schön in eine eigene Kette verpacken.

Bin aber auch schon ne Weile aus IPTables raus...
 
Es existieren 2 Webseiten und sagen wir mal alle öffentlichen User sind A und die speziellen IPs sind B

www.abc.de -> IP1:80 -> für A und B verfügbar
intranet.abc.de -> IP2:443 -> nur für B verfügbar


Jetzt fällt mir selbst direkt auf. Wenn ich mit IP-Tables B direkt nach IP2 umleiten lasse, dann ist IP1 mit www.abc.de ja für die gar nicht verfügbar bzw. ich müsste im Apache dann eine Umleitung machen.

Ich glaube die Vorstellung wie das gehandhabt werden soll ist nicht wirklich gut ausgefeilt oder hab ich jetzt nen Denkfehler? :D
 
Wenn ich den Fließtext richtig verstehe, soll lediglich alles was an den 2. Webserver Port 443 (-d IP2) (--dport 443) reinkommt (also INPUT-Table) auf paar Adressen beschränkt werden. Der den 2. Webserver betreffende Abschnitt sähe dann wohl etwa so aus:

iptables -A INPUT -p tcp -s ERLAUBTE_IP -d IP2 --dport 443 -j ACCEPT
... # analog für weitere erlaubte IPs oder IP-Bereiche
iptables -A INPUT -p tcp -d IP2 --dport 443 -j REJECT # Rest ablehnen

Das schreib auch schon KillerCow. Wenn ich im 1. Beitrag die Zeile mit "-t nat -A PREROUTING" lese, mache ich mir allerdings so meine Gedanken. Passt SO GAR NICHT zum beschriebenen Szenario.

cppnap schrieb:
Ich glaube die Vorstellung wie das gehandhabt werden soll ist nicht wirklich gut ausgefeilt oder hab ich jetzt nen Denkfehler?
Zum Vergrößern anklicken....
Manpage und FAQ zu iptables lesen!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Fritzbox: Port weiterleiten an externe IP
Antworten
3
Aufrufe
665
qiller
Q
A
Portweiterleitung über iptables zeigt auf Webserver-Log nur die interne IP vom weitergeleitenden Server
Antworten
16
Aufrufe
915
Andy81
A
lexnared
VPN Wireguard kein zugriff auf Netzwerkgeräte
Antworten
7
Aufrufe
495
lexnared
lexnared
Spike S.
IPv6 auf öffentl. Server - nix geht durch
2
Antworten
22
Aufrufe
963
Spike S.
Spike S.
P
PIVPN Wireguard Configuration und weiterleiten des kompletten Internetverkehrs zum VPN
Antworten
11
Aufrufe
1.846
prodo80
P

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz