Apache e iptables

moonspell
(usa Ubuntu)

Enviado em 15/05/2009 - 17:42h

Boa tarde pessoal,

to com um problema aparentemente fácil mas q n consigo resolver.
Fiz uma página e publiquei no Apache. Como n quero q todos tenham acesso à mesma, pensei em usar o IPTABLES nessa máquina.

root@ubuntu:~# /sbin/iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- X.X.X.X anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

A minha máquina (X.X.X.X) consegue acessar o servidor via putty e tudo mais. O problema é q ela, mesmo com a linha liberando td pra mesma no INPUT, n acessa a página na porta 80!! N entendo como isso pode acontecer.

Porém, se eu entrar com a linha "iptables -A INPUT -p tcp --dport 80 -j ACCEPT", a página fica acessível pra todos. Se eu der um "iptables -A INPUT -p tcp --dport 80 -s X.X.X.X -j ACCEPT", eu n consigo acessar a página da minha máquina!!



Vlw!!

moonspell
(usa Ubuntu)

Enviado em 19/05/2009 - 10:47h

Ninguém??

signout
(usa Slackware)

Enviado em 19/05/2009 - 10:54h

Tente a seguinte regra

iptables -A INPUT -p tcp -s XX.XX.XX.XX -d YY.YY.YY.YY --dport 80 -j ACCEPT

onde
XX.XX.XX.XX é o ip da sua maquina
YY.YY.YY.YY é o ip do seu servidor

ou entao simplesmente

iptables -A INPUT -p tcp -s XX.XX.XX.XX --dport 80 -j ACCEPT

onde
XX.XX.XX.XX é o ip da sua maquina

Recomendo tambem (quanto tiver mais tempo) ler os artigos sobre iptables aqui do VOL....

Espero que ajude.

moonspell
(usa Ubuntu)

Enviado em 19/05/2009 - 14:32h

Amigo,

se eu especifico no comando o IP que deve acessar a porta, n dá certo!! Já tentei a sua sugestão...só funciona se eu liberar toda a rede pra acessar aquela porta! É isso q eu n entendo.

sds

signout
(usa Slackware)

Enviado em 19/05/2009 - 14:46h

Faz um teste, coloca a regra, especificando o ip de origem, e antes disso coloca um log, para ver o que esta trafegando, de onde para onde:

iptables -A INPUT -p tcp -d YY.YY.YY.YY --dport 80 -j LOG --log-prefix "HTTP IN -"
iptables -A INPUT -p tcp -s YY.YY.YY.YY --sport 80 -j LOG --log-prefix "HTTP OUT -"
iptables -A INPUT -p tcp -s XX.XX.XX.XX -d YY.YY.YY.YY --dport 80 -j ACCEPT

XX.XX.XX.XX ip da sua maquina
YY.YY.YY.YY ip do servidor

A primeira regra loga tudo que vier para o servidor, a segunda tudo que sair do servidor na porta 80 e a terceira libera o acesso da sua maquina ao servidor na porta 80
Verifique o trafego, se esta realmente chegando e saindo conforme voce espera, qualquer coisa, poste o resultado aqui.

Espero que ajude.

moonspell
(usa Ubuntu)

Enviado em 19/05/2009 - 16:51h

Com o log eu entendi o problema...a requisição saía com o IP do proxy! Vou por o endereço na lista daqueles q n passam pelo proxy e aí crio as entradas com os IP's que devem acessar a página. Deve funcionar...

mto obrigado pela ajuda!!

bbgshow
(usa Kurumin)

Enviado em 04/11/2011 - 23:51h

gente eu tenho um firewall aqui na empresa, e meu apache ta em outra maquina, alguem sabe a regra no iptables que uso, para qualquer um que quiser site exemplo.com.br, seja redirecionado para a maquina que ta o apache?