ubuntuusers.de

undine schrieb:

sudo netstat -tlpena | grep -iE '80|443'

Antwort:

sudo netstat -tlpena | grep -iE '80|443'
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      101        21821      801/systemd-resolve 
tcp        0      0 10.0.0.146:60744        166.162.175.3:443       ESTABLISHED 584788     48308      1224/gomon          
tcp        0      0 10.0.0.146:55044        xxxxx.152:80        TIME_WAIT   0          0          -                   
tcp6       0      0 :::80                   :::*                    LISTEN      0  
------

Evtl. kann dein Web-Server auf dem Port 443, richtigerweise nur via VPN erreicht werden? Wenn das mit dem Port 80 nicht der Fall ist, dann ändern. BTW: Soll dein Web-Server aus dem Internet, für alle erreichbar sein?

Evtl. einen neuen/anderen Thread starten, in dem es um die Konfiguration des Web-Servers geht.

Hallo, per http://........... startet die Anwendung.

Jetzt auch mit https://.................. , nachdem ich die Port 443 Ingress Rules, gelöscht und neu erstellt habe.

Es sieht jetzt so aus:

sudo netstat -tlpena | grep -iE '80|443'
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      101        22887      800/systemd-resolve 
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          15080      1/init              
tcp        0      0 10.0.0.146:34480        169.xxx.1xx.254:80      ESTABLISHED 584788     30849      862/agent           
tcp6       0      0 :::80                   :::*                    LISTEN      0          26227      1100/apache2        
tcp6       0      0 10.0.0.1xx:80           xxx:55794      ESTABLISHED 33         29875      1332/apache2        
tcp6       0      0 10.0.0.1xx:80           xxx:55776      TIME_WAIT   0          0          -         

Wie mache jetzt einen Sicherheits Abschlusscheck?

lubux schrieb:

[…] Z. B. ein nativer IPv4-Internetanschluss in DE, mit einer _providereigenen_ FritzBox (als border device), gescannt aus dem Internet:

91.##.##.## > 192.168.178.22: ICMP host 91.##.##.## unreachable - admin prohibited filter, length 36

RCVD (0.2129s) ICMP [91.##.##.## > 192.168.178.22 Communication administratively prohibited by filtering (type=3/code=13)

Das sind gerade keine Beispiele für die Arbeitsweise der von mir kritisierten Portfilter eines Personal Firewalls! Vielmehr stammen diese Meldungen vermutlich gar nicht von der von Dir als Ziel auserkorenen Fritzbox, sondern von einem Router im Autonomen System Deines Providers, der im freien Internet unzulässige private IP-Adressen völlig berechtigt mit einem Adressfilter sperrt. Solche Filter sind kein Unfug!

undine schrieb:

Wie mache jetzt einen Sicherheits Abschlusscheck?

Was genau meinst Du mit "Sicherheits Abschlusscheck"? Wer soll Zugang zu deinem apache-Server haben?

Der Webserver, jetzt ist testweise Wordpress installiert soll jeder sehen können.

Die Verbindung per http soll auf https umgeleitet werden.

Danach möchte ich ein Letsencrypt Zertifikat, was sich eigenständig verlängert.

kB schrieb:

... nicht von der von Dir als Ziel auserkorenen Fritzbox, sondern von einem Router im Autonomen System Deines Providers, der im freien Internet unzulässige private IP-Adressen völlig berechtigt mit einem Adressfilter sperrt.

Der Router im System meines Providers sieht diese private IP-Adresse nicht, weil meine FritzBox (Router) NAT macht.

Wenn ich auf einen lauschenden Port, der fernen/fremden FritzBox einen tcp-ping mache, bekomme ich auch eine syn+ack-Antwort. Z. B.:

SENT (0.0235s) TCP 192.168.178.22:23456 > 91.##.##.##:5060 S ttl=64 id=31720 iplen=40  seq=1955812067 win=1480 
RCVD (0.2102s) TCP 91.##.##.##:5060 > 192.168.178.22:23456 SA ttl=55 id=0 iplen=44  seq=2011502240 win=29200 <mss 1452>

Ich habe aber auch einen Server (direkt im Internet, ohne Router) bzw. nur mit einer öffentlichen IP-Adresse (keine private) und damit sieht es so aus:

SENT (0.0135s) TCP 109.**.***.***:23456 > 91.##.##.##:23 S ttl=64 id=19775 iplen=40  seq=1380277394 win=1480 
RCVD (0.0492s) ICMP [91.##.##.## > 109.**.***.*** Communication administratively prohibited by filtering (type=3/code=13)

Hallo User,

Vom Provider:

Update firewall settings.

The Ubuntu firewall is disabled by default. However, you still need to update your iptables configuration to allow HTTP traffic. Update iptables with the following commands.

Definitiv ist mein Apache2 Weberser erst der Eingabe folgender Befehle erreichbar:

sudo iptables -I INPUT 6 -m state --state NEW -p tcp --dport 80 -j ACCEPT
sudo iptables -I INPUT 6 -m state --state NEW -p tcp --dport 443 -j ACCEPT
sudo netfilter-persistent save

Was genau machen die Befehle?

https://wiki.ubuntuusers.de/iptables/

Greetz

undine

undine schrieb:

Definitiv ist mein Apache2 Weberser erst der Eingabe folgender Befehle erreichbar:

sudo iptables -I INPUT 6 -m state --state NEW -p tcp --dport 80 -j ACCEPT
sudo iptables -I INPUT 6 -m state --state NEW -p tcp --dport 443 -j ACCEPT
sudo netfilter-persistent save

Was genau machen die Befehle?

Das ist in diesem/deinem Thread doch schon geklärt.

Mich verwirrt der Thread etwas, das wichtige kann ich nicht ersehen.

undine schrieb:

Mich verwirrt der Thread etwas, ...

Welcher Teil des Threads verwirrt dich?

undine schrieb:

... das wichtige kann ich nicht ersehen.

Das "wichtigste" ist, am Ende der INPUT chain, diese/deine Regel:

0        0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

, mit dem target REJECT. Deshalb musst Du vor dieser Regel, mit anderen Regeln, den Zugang zu den Ports 80, 443 und anderen erforderlichen Ports, freigeben.