Konfigurace Apache2 pro veřejnou IP

[Gargoyle]

Dneska mi konečně provider přidělil veřejnou IP adresu, tak si říkám, že se podívám, jestli mi pojede Apache2 i z tý nový IP (z interní IP mi to jede, z LocalHostu taky). Do prohlížeče hodím http://moje.nova.ip.adresa a ono nic, vůbec to nefunguje! Tak si říkám, jestli mě neošulili, tak spustím herní server (Urban Terror 4.1), ale potom, co se mi tam přihlásilo pár lidí jsem usoudil, že mi blbne indián.
Jak to mám zkonfigurovat, aby obsah /var/www viděl celej svět?

[Petr Merlin Vaněček]

"ono nic" znamena co? Vypsalo to server nenalezen, nebo co? Telnet na port 80 vypise co? Nemate nahodou nastaveny firewall na serveru, ktery port 80 blokuje?

[qaws]

Dneska mi konečně provider přidělil veřejnou IP adresu, tak si říkám, že se podívám, jestli mi pojede Apache2 i z tý nový IP (z interní IP mi to jede, z LocalHostu taky). Do prohlížeče hodím http://moje.nova.ip.adresa a ono nic, vůbec to nefunguje! Tak si říkám, jestli mě neošulili, tak spustím herní server (Urban Terror 4.1), ale potom, co se mi tam přihlásilo pár lidí jsem usoudil, že mi blbne indián.
Jak to mám zkonfigurovat, aby obsah /var/www viděl celej svět?

Kde si to daval do prehliadaca? Ak dam moju verejnu ip v takom tvare na localhoste, tak neuspejem tiez a inak vsetko ide.

Nemas blokovany port 80 na prichadzajuce spojenia? To provideri robia dost casto, aby svojich zakaznikov ochranili (a zmensili si bandwidth).
Pre istotu sem postni tvoj iptables skript.

[Gargoyle]

"ono nic" znamena co? Vypsalo to server nenalezen, nebo co? Telnet na port 80 vypise co? Nemate nahodou nastaveny firewall na serveru, ktery port 80 blokuje?

To "nic" znamená, že prohlížeč se snaží chvíli připojovat (ve stavovým řádku je Připojuji se k 12.34.567.89 a pak to vypíše asi po 5 minutách:
Vypršel čas spojení
Při pokusu kontaktovat server 12.34.567.89 vypršel časový limit.

...

[Gargoyle]

Dneska mi konečně provider přidělil veřejnou IP adresu, tak si říkám, že se podívám, jestli mi pojede Apache2 i z tý nový IP (z interní IP mi to jede, z LocalHostu taky). Do prohlížeče hodím http://moje.nova.ip.adresa a ono nic, vůbec to nefunguje! Tak si říkám, jestli mě neošulili, tak spustím herní server (Urban Terror 4.1), ale potom, co se mi tam přihlásilo pár lidí jsem usoudil, že mi blbne indián.
Jak to mám zkonfigurovat, aby obsah /var/www viděl celej svět?

Kde si to daval do prehliadaca? Ak dam moju verejnu ip v takom tvare na localhoste, tak neuspejem tiez a inak vsetko ide.

Nemas blokovany port 80 na prichadzajuce spojenia? To provideri robia dost casto, aby svojich zakaznikov ochranili (a zmensili si bandwidth).
Pre istotu sem postni tvoj iptables skript.

Ten skript najdu kde?

[Petr Merlin Vaněček]

Napoprve jsem vam chtel oznamit, ze provider Vam pridelil IP adresu z bloku, ktery mu zcela urcite nepatri, pak jsem uvidel treti bit adresy a chtel jsem k tomu dodat, ze ke vsemu neplatnou a pak mi teprve docvaklo, ze je to fiktivni adresa :-D

Kde najdete script zalezi na tom, zda jste si firewall konfiguroval rucne, nebo jste k tomu vyuzival sluzeb napr. shorewallu, ale tak trochu tusim, ze jste zadny firewall nekonfiguroval ... mozna bude stacit, pokud sem pastnete vypis

Kód: [Vybrat]

sudo iptables -L


[Gargoyle]

Napoprve jsem vam chtel oznamit, ze provider Vam pridelil IP adresu z bloku, ktery mu zcela urcite nepatri, pak jsem uvidel treti bit adresy a chtel jsem k tomu dodat, ze ke vsemu neplatnou a pak mi teprve docvaklo, ze je to fiktivni adresa :-D

Kde najdete script zalezi na tom, zda jste si firewall konfiguroval rucne, nebo jste k tomu vyuzival sluzeb napr. shorewallu, ale tak trochu tusim, ze jste zadny firewall nekonfiguroval ... mozna bude stacit, pokud sem pastnete vypis

Kód: [Vybrat]

sudo iptables -L


No tak moje adresa je pochopitelně jiná, ale když jsem to psal, ještě jsem si ji nepamatoval a nechtělo se mi to hledat (77.48.102.76)

sudo iptables dí:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[truhlik]

Zkousel jste pristoupit na apache na svem pocitaci prez verejnou ip ze sveho pocitace? To myslim ze nejde... Pokud pristupujete na sebe tak musite zadavat localhost prez ip muzete pristupovat jen z jinich pocitacu z venku z internetu...

Pokud jste tak delal tak se omlouvam za blby prispevek.

[Petr Merlin Vaněček]

S dovolenim jsem si vas dovolil oscanovat, port 80 skutecne otevreny nemate, zato vam tam bezi otevrene nfs, nejaky firewall by se vam opravdu hodil

Jinak port 80 neni blokovany az na vasi IP, takze snad ok

Alespon hrozne jednoduse - predpokladam tam mate dve sitovky:

Kód: [Vybrat]

##Timhle zakazeme veskery traffic, je jednodussi vse blokovat a postupne povolovat, nez naopak
iptables -P INPUT DROP                                                     
iptables -P OUTPUT DROP                                                       
iptables -P FORWARD DROP

## Povolime na INPUTU vse, co ma spravny status
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Pokud bychom chteli byt paranoidni, tak lze upravovat i toto na vybrane porty / adresy   
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

##Predpokladam, ze vnitrni iface je eth0, takze tomu povolime vse, zrovna tak neni radno zakazovat loopback :)
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

##Definujeme si sluzby, co chceme z venku poustet - vnejsi iface eth1
iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport http -j ACCEPT

##Pripadne NATovani                                   
# echo "1" > /proc/sys/net/ipv4/ip_forward                                                             
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE                     

Co se tyce toho apache - mrknete, jestli nahodou nemate v /etc/apache2/ports.conf zadanou adresu iface tj. treba
Listen 192.168.1.1:80

Pokud ano, zmente to na
Listen 80

Zrovna tak se mrknete, co mate v
/etc/apache2/sites-available/default (pravdepodobne) - zase by tam nemela byt definovana adresa, ale jen *:80

[Petr Merlin Vaněček]

Zkousel jste pristoupit na apache na svem pocitaci prez verejnou ip ze sveho pocitace? To myslim ze nejde... Pokud pristupujete na sebe tak musite zadavat localhost prez ip muzete pristupovat jen z jinich pocitacu z venku z internetu...

Pokud jste tak delal tak se omlouvam za blby prispevek.

Ale jisteze to jde a pokud Vam ne, tak mate nekde neco spatne

[Gargoyle]

V /etc/apache2/ports.conf jsem si to na tu osmdesátku změnil, bylo tam 127.0.0.1:80 a pro SSL (snad jsem neudělal blbost) jsem dal port 22 (protože je zdá se povolenej).
Jinak síťovku mám jen jednu.

V /etc/apache2/sites-available/default mám tohle:

Kód: [Vybrat]

NameVirtualHost *
<VirtualHost *>
ServerAdmin webmaster@localhost

DocumentRoot /var/www/
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
# This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/log/apache2/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog /var/log/apache2/access.log combined
ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
Sorry, že s tímhle tak otravuju, ale v tomhle jsem naprostej nevzdělanec, můj osobní hardware je určenej na grafiku.

[truhlik]

Zkousel jste pristoupit na apache na svem pocitaci prez verejnou ip ze sveho pocitace? To myslim ze nejde... Pokud pristupujete na sebe tak musite zadavat localhost prez ip muzete pristupovat jen z jinich pocitacu z venku z internetu...

Pokud jste tak delal tak se omlouvam za blby prispevek.

Ale jisteze to jde a pokud Vam ne, tak mate nekde neco spatne

Neprovozuju apache ale ssh a ftp a pokud chci z pocitace na kterem bezi tyto sluby pristoupit na sebe tak to lze jen prez localhost kdyz zadam verejnou ip tak me to vzdy odmitne...


PS: Jak se daji skenovat porty at uz svoje nebo nekoho? Hodilo by se mi to taky abych zjistil jak jsem na tom.

[Gargoyle]

Zkousel jste pristoupit na apache na svem pocitaci prez verejnou ip ze sveho pocitace? To myslim ze nejde... Pokud pristupujete na sebe tak musite zadavat localhost prez ip muzete pristupovat jen z jinich pocitacu z venku z internetu...

Pokud jste tak delal tak se omlouvam za blby prispevek.

Ale jisteze to jde a pokud Vam ne, tak mate nekde neco spatne

Neprovozuju apache ale ssh a ftp a pokud chci z pocitace na kterem bezi tyto sluby pristoupit na sebe tak to lze jen prez localhost kdyz zadam verejnou ip tak me to vzdy odmitne...


PS: Jak se daji skenovat porty at uz svoje nebo nekoho? Hodilo by se mi to taky abych zjistil jak jsem na tom.

Zkusím to z jinýho PC (přes Proxy by to mohlo jít, ne?)
Jo (nejen) na skenování portů je fakt úžasnej prográmek, kterej se jmenuje GNOME NetTool a najdeš ho v Systém > Správa > Nástroje pro síť 

[Petr Merlin Vaněček]

V /etc/apache2/ports.conf jsem si to na tu osmdesátku změnil, bylo tam 127.0.0.1:80 a pro SSL (snad jsem neudělal blbost) jsem dal port 22 (protože je zdá se povolenej).

Port 22 je port pro ssh nikoliv pro ssl (ssh = security shell - vzdalene prihlaseni "program", ssl = Secure Sockets Layer "protokol")
Spravny port pro https je 443

Jinak apache na portu 80 na te IP uz jede

[Petr Merlin Vaněček]

Zkousel jste pristoupit na apache na svem pocitaci prez verejnou ip ze sveho pocitace? To myslim ze nejde... Pokud pristupujete na sebe tak musite zadavat localhost prez ip muzete pristupovat jen z jinich pocitacu z venku z internetu...

Pokud jste tak delal tak se omlouvam za blby prispevek.

Ale jisteze to jde a pokud Vam ne, tak mate nekde neco spatne

Neprovozuju apache ale ssh a ftp a pokud chci z pocitace na kterem bezi tyto sluby pristoupit na sebe tak to lze jen prez localhost kdyz zadam verejnou ip tak me to vzdy odmitne...


PS: Jak se daji skenovat porty at uz svoje nebo nekoho? Hodilo by se mi to taky abych zjistil jak jsem na tom.

To je uplne jedno co provozujete za sluzby, jestli http, pop3, ssh whatever ... mate na vnejsim iface nastavenou vnejsi IP adresu, nebo mate porty mapovane (od providera)?

Nejlepe z jineho PC program nmap ...

[Gargoyle]

V /etc/apache2/ports.conf jsem si to na tu osmdesátku změnil, bylo tam 127.0.0.1:80 a pro SSL (snad jsem neudělal blbost) jsem dal port 22 (protože je zdá se povolenej).

Port 22 je port pro ssh nikoliv pro ssl (ssh = security shell - vzdalene prihlaseni "program", ssl = Secure Sockets Layer "protokol")
Spravny port pro https je 443

Jinak apache na portu 80 na te IP uz jede

Jéj, tak to vrátím zpátky, nějak se mi to popletlo 
Takže mi to už jede? Tak to je výborný, mockrát díky za radu! 

[Petr Merlin Vaněček]

Ano, uz to jede. Samosebou si upravte ten firewall aby propoustel pozadavky i na https ... a samosebou vrele doporucuji si precist par howto a alespon jednoduchy firewall vyrobit, protoze ted posilate do sveta i to, co posilate do vnitrni site, nicmene pokud jsem spravne pochopil, tak ten PC je jediny na odchozim kanalu, takze by melo stacit pro zacatek to upravit takto:

Kód: [Vybrat]

iptables -P FORWARD DROP

## Povolime na INPUTU vse, co ma spravny status
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Pokud bychom chteli byt paranoidni, tak lze upravovat i toto na vybrane porty / adresy   
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

##Povolime loopback
iptables -A INPUT -i lo -j ACCEPT

##Definujeme si sluzby, co chceme z venku poustet - vnejsi iface eth0
iptables -A INPUT -i eth0 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport http -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport https -j ACCEPT

Tim mate z venku povolene jen 3 porty - ssh (22), http (80), https (443)

[Gargoyle]

Ano, uz to jede. Samosebou si upravte ten firewall aby propoustel pozadavky i na https ... a samosebou vrele doporucuji si precist par howto a alespon jednoduchy firewall vyrobit, protoze ted posilate do sveta i to, co posilate do vnitrni site, nicmene pokud jsem spravne pochopil, tak ten PC je jediny na odchozim kanalu, takze by melo stacit pro zacatek to upravit takto:

Kód: [Vybrat]

iptables -P FORWARD DROP

## Povolime na INPUTU vse, co ma spravny status
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Pokud bychom chteli byt paranoidni, tak lze upravovat i toto na vybrane porty / adresy   
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

##Povolime loopback
iptables -A INPUT -i lo -j ACCEPT

##Definujeme si sluzby, co chceme z venku poustet - vnejsi iface eth0
iptables -A INPUT -i eth0 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport http -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport https -j ACCEPT

Tim mate z venku povolene jen 3 porty - ssh (22), http (80), https (443)

Mockrát děkuju

[Petr Merlin Vaněček]

Jenom jeste podotknu, ze toto je nejidealnejsi umistit do scriptu, ktery nechate spoustet automaticky po startu

[truhlik]

To je uplne jedno co provozujete za sluzby, jestli http, pop3, ssh whatever ... mate na vnejsim iface nastavenou vnejsi IP adresu, nebo mate porty mapovane (od providera)?

Nejlepe z jineho PC program nmap ...

Nevim jestli jsem to spravne pochopil, mapovane je to same jako forwardovane?
Mam jednu verejnou ip kterou dostava modem, za nim je jeste router ten provadi NAT a za nim je teprve SSH a FTP. V routeru i modemu je nastavenou forwardovani danich portu na danou vnitrni ip.

[Petr Merlin Vaněček]

No a to bude ten problem - z vnitrni site se snazite pripojit na vnejsi IP ale ne serveru, ale modemu, ktery ovsem mate nastaveny na portforward (premapovani) jen z vnejsi site do vnitrni. Nicmene pokud na vnitrni siti zadate ip adresu stroje (nikoliv localhost, nebo 127.0.0.1, ale napr. 192.168.1.1) tak to musi fungovat. Mimochodem, nebylo by hezci, kdyby napr. ten modem (predpokladam ADSL) byl nastaveny do rezimu bridge a ten router mel verejnou IP (predpokladem je, ze modem umi PPPoE protokol) ? Pripadne pokud mate ten PC jako "server" dat dovnitr jeste jednu sitovku, modem opet bridgovat do PC pres PPPoE dat verejnou "serveru" ktery by i NAToval do LANu na druhe sitovce?

[truhlik]

Mel jste (samozrejme) pravdu, pokud zadam svoji vnitrni ip tak se pripojim na server. Dekuji za informace.

Nedavno jsem premyslel o tom ze bych to udelal tak jak mi radite ale pak jsem si polozil otazku k cemu to bude dobre. Hezci to bude to urcite mate pravdu ale budu z toho mit nejaky znatelny uzitek?

Jak presne funguje ten bridge? Byl by zde opravdu potreba? Docetl jsem se ze slouzi "ke spojeni dvou siti,sitovek" tim ze bych nastavil bridgovani mezi routerem a sitovkou by se mi prenesla verejna ip na sitovku pac by to bylo jako jedna sit?

[Petr Merlin Vaněček]

K cemu by to bylo? Nemel by jste 2x v siti pouzity NAT a na sitovce v serveru by byla verejna IP adresa (tj. neni pak potreba nastavovat pracne mapovani v pripade potreby zmeny portu ci vytvoreni noveho mapovani).

PPPoE bridge funguje zjednodusene jako "drat". Modem se pak tvari jakoby vubec neexistoval (resp. existuje na vnitrni IP adrese, ale dalo by se rici, ze promapovava cele pasmo na sitovku) - server je tak "prvni na rane" a lze si i ridit navazovani spojeni ADSL apod. - modem je tam pak jako jakysi meziclanek, neco jako bezdratova cast mezi klientem a APeckem, konvertor.

[truhlik]

Vidim v tom tu vyhodu ze bych nemusel forwardovat vsechny potrebne porty zvlast ted kdyz si hraju s nastavenim serveru je to obcas dost unavne.
Pouziti 2xNAT ... zpomaluje to nejak prenos dat? Nemyslim v radech nanosekund, ale v nejakych znatelnych cislech.

Kazdopadne uz nechci otravovat pac kazda Vase odpoved plodi dalsi otazky ode me jako neznaleho, vsechno si samozrejme muzu najit na internetu. Dekuji tedy za odpovedi jsem rad ze jsem se necemu dalsimu priucil zvlast v techto vecech ktere me vcelku zajimaji.

PS: Popremejslim o tomto uspusobeni sve site, zatim vsak jeste nemuzu provest pac server mi nejede vzdy kdyz jedou stanice. Snad se to zmeni a pak mozna k tomu pristoupim.

PS2: Nevedel byste nekdo o dobrem torrentu ktery se da vzdalene ovladat prez internet? Zkousel jsem Azureus - padal pri nahozeni torrentu, Utorrent - hlasil chybu neco jako ze nemuze zapisovat na disky (zkouseno: ext3, fat32, ntfs), a pak jeste par dalsich ale nic se nedarilo...mam tam Xubuntu 8.04 a zatim to neni zadna slava doufam ze kluci maknou do dubna.

[Petr Merlin Vaněček]

Je to jedna z vyhod Jedna z dalsich vyhod - co se tyce logu a napr. posty - ted budete mit diky forwardovanemu portu vzdy uvedeny pristup z adresy vaseho modemu (vnitrni), pokud budete chtit nekomu zakazat pristup dle IP, tak mate smulu. Pokud byste si chtel hostovat svou domenu, nebude vam diky tomu fungovat napr. analyza vytizeni webu z jednotlivych zemi. V pripade vytvareni vaseho vlastniho smtp server nebudete moci aplikovat napr. postgrey na obranu proti spamum. Vas server se nebude identifikovat vnejsi IP, ale IP lokalni, coz muze vest k odmitani posty na nekterych relationship urovnich ostatnich serveru. Je toho daleko daleko vic. Kazde zarizeni v siti, kde se musi data predavat znamena zpozdeni - nekdy na urovni nanosekund, nekdy i vice, zalezi na vytizenosti zarizeni a jeho schopnostech

Neotravujete, od toho tady snad forum je, ne?

S tim, ze server vam nejede vzdy kdyz jedou stanice jsem to nejak nepochopil? :-D