9
Eigener apatche server zu Hause
Hallo, Ich habe einen Webserver zuhause aufgestellt und nach langem Fummeln und dispi´s ausprobieren habe ich es soweit geschafft dass er auch über SSH (Von meinem Windows -rechner) ansteuern bar ist. Ich wollte unbedingt "KeyHelp" Als "Webmin" haben, auch dass habe ich bisher hin bekommen.
NUR MEIN GROßES Problem : Ich komme zwar im eigenen Netzwerk auf den Server (Mit interner IP) .. jedoch weder von Außen noch bekomme ich das hin mit dem "DynDNS" ..
Ich habe eine Fritz-box und alles per Kabel /KEIN WLAN) angeschlossen. Die port Freigabe auf Port 80 hab ich auch gemacht. Nur Leider komme ich nicht weiter !
Ich hoffe Dass mir Hier jemand helfen kann !!
PS_: Ich brauche den Server gar nich weiter einrichten bevor ich nicht dieses im Griff habe..
Und BITTE keine Tip´s wie: Miete dir einen Server oder Host Paket .. Hab ich alles.
Danke im Voraus !
mobone
NUR MEIN GROßES Problem : Ich komme zwar im eigenen Netzwerk auf den Server (Mit interner IP) .. jedoch weder von Außen noch bekomme ich das hin mit dem "DynDNS" ..
Ich habe eine Fritz-box und alles per Kabel /KEIN WLAN) angeschlossen. Die port Freigabe auf Port 80 hab ich auch gemacht. Nur Leider komme ich nicht weiter !
Ich hoffe Dass mir Hier jemand helfen kann !!
PS_: Ich brauche den Server gar nich weiter einrichten bevor ich nicht dieses im Griff habe..
Und BITTE keine Tip´s wie: Miete dir einen Server oder Host Paket .. Hab ich alles.
Danke im Voraus !
mobone
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399521
Url: https://administrator.de/contentid/399521
Printed on: April 25, 2024 at 05:04 o'clock
9 Comments
Latest comment
Moin,
Ich rate dir davon ab, deinen Webserver durch öffnen des Port 80 mit dem nackten Popo ins WAN zu stellen.
Muss der Apache (Rechtschreibfehler im Titel kannst du korrigieren) zwingend für alle im WAN zugänglich sein?
Wenn nein: nutze VPN zur Fritzbox. Ab da fühlt es sich fast so an, als wärest du im LAN
Gruß
em-pie
Ich rate dir davon ab, deinen Webserver durch öffnen des Port 80 mit dem nackten Popo ins WAN zu stellen.
Muss der Apache (Rechtschreibfehler im Titel kannst du korrigieren) zwingend für alle im WAN zugänglich sein?
Wenn nein: nutze VPN zur Fritzbox. Ab da fühlt es sich fast so an, als wärest du im LAN
Gruß
em-pie
Hallo
a. Kann es an den Firewall - Funktionen des Routers (Fritz-Box) liegen?
b. Könnte es sein, dass der Apache auf eine falsche Ip-Adresse lauscht? Er sollte entweder auf alle lauschen oder zumindest auf die IP adresse im internen Netz.
Servus
a. Kann es an den Firewall - Funktionen des Routers (Fritz-Box) liegen?
b. Könnte es sein, dass der Apache auf eine falsche Ip-Adresse lauscht? Er sollte entweder auf alle lauschen oder zumindest auf die IP adresse im internen Netz.
Servus
Hallo,
@em-pie
kann man schon machen wenn man weiß was man tut, d.h. der Webserver steht in einer DMZ und der Server inkl. Webapp und das Netzwerk (Firewall) wurde ordentlich konfiguriert.
@mobone19
Wenn ich das schon lesen muss wird mir schlecht. Was ist oder sind denn bitteschön "Dispi's? Meinst du Distribution?!
Wenn du erst durch zahlreiches "rumfummeln" einen SSH Zugriff hinbekommen hast, deutet das auf ein mangelndes Know How hin.
Ja. Lerne die Grundlagen. Ansonsten wird das nichts.
Vollkommen richtig erfasst. Hol dir ein Buch (alternativ gehen in die bibliothek) und lerne die notwendigen Grundlagen in Linux, Netzwerke und Webserver.
@juhu01
Wenn man bei der Fritzbox Port Forwarding einrichtet, dann wird automatisch eine Firewall Regel erstellt.
Der Apache lauscht grundsätzlich per default auf allen Interfaces. Andernfalls könnte er auch den Webserver nicht intern erreichen.
Viele Grüße,
Exception
@em-pie
ich rate dir davon ab, deinen Webserver durch öffnen des Port 80 mit dem nackten Popo ins WAN zu stellen.
kann man schon machen wenn man weiß was man tut, d.h. der Webserver steht in einer DMZ und der Server inkl. Webapp und das Netzwerk (Firewall) wurde ordentlich konfiguriert.
@mobone19
Ich habe einen Webserver zuhause aufgestellt und nach langem Fummeln und dispi´s ausprobieren habe ich es soweit geschafft dass er auch über SSH (Von meinem Windows -rechner) ansteuern bar ist.
Wenn ich das schon lesen muss wird mir schlecht. Was ist oder sind denn bitteschön "Dispi's? Meinst du Distribution?!
Wenn du erst durch zahlreiches "rumfummeln" einen SSH Zugriff hinbekommen hast, deutet das auf ein mangelndes Know How hin.
Ich hoffe Dass mir Hier jemand helfen kann !!
Ja. Lerne die Grundlagen. Ansonsten wird das nichts.
PS_: Ich brauche den Server gar nich weiter einrichten bevor ich nicht dieses im Griff habe..
Vollkommen richtig erfasst. Hol dir ein Buch (alternativ gehen in die bibliothek) und lerne die notwendigen Grundlagen in Linux, Netzwerke und Webserver.
@juhu01
a. Kann es an den Firewall - Funktionen des Routers (Fritz-Box) liegen?
Wenn man bei der Fritzbox Port Forwarding einrichtet, dann wird automatisch eine Firewall Regel erstellt.
b. Könnte es sein, dass der Apache auf eine falsche Ip-Adresse lauscht? Er sollte entweder auf alle lauschen oder zumindest auf die IP adresse im internen Netz.
Der Apache lauscht grundsätzlich per default auf allen Interfaces. Andernfalls könnte er auch den Webserver nicht intern erreichen.
Viele Grüße,
Exception
Zitat von @mobone19:
PS_: Ich brauche den Server gar nich weiter einrichten bevor ich nicht dieses im Griff habe..
Und BITTE keine Tip´s wie: Miete dir einen Server oder Host Paket .. Hab ich alles.
PS_: Ich brauche den Server gar nich weiter einrichten bevor ich nicht dieses im Griff habe..
Und BITTE keine Tip´s wie: Miete dir einen Server oder Host Paket .. Hab ich alles.
Hallo, zur Ergänzung warum hier sowas nicht so beachtet wird.
Es ist nicht nur so das du dir potenziell Probleme in's Haus holst du einen flasch Konfigurierten Webserver.
Das was du da machst, ist die Nächste potenzielle SPAM/Virus schleuder im Netz die uns Ärgern will.
Das man sowas Testen will ist ja gut und das man nicht immer alles gleich Wissen kann auch. Deshalb wenn du's nicht wirklich öffentlich brauchst zumindest das ganze über VPN der Fritzbox abdecken. Währ Sinnvoller.
J
Korrekt. Aber dann steht der Apache dennoch nicht nackt im Netz. Es gibt dann diverse Sicherheitsmechanismen dazwischen. Mindestens mal ein ReverseProxy und ein Fail2Ban. Scheint mir hier aber nicht der Fall zu sein. Das scheint mir hier aber nicht mal Ansatzweise gegeben zu sein, daher mein o.g Rat.
Zitat von @129580:
Hallo,
@em-pie
kann man schon machen wenn man weiß was man tut, d.h. der Webserver steht in einer DMZ und der Server inkl. Webapp und das Netzwerk (Firewall) wurde ordentlich konfiguriert.
Hallo,
@em-pie
ich rate dir davon ab, deinen Webserver durch öffnen des Port 80 mit dem nackten Popo ins WAN zu stellen.
kann man schon machen wenn man weiß was man tut, d.h. der Webserver steht in einer DMZ und der Server inkl. Webapp und das Netzwerk (Firewall) wurde ordentlich konfiguriert.
Korrekt. Aber dann steht der Apache dennoch nicht nackt im Netz. Es gibt dann diverse Sicherheitsmechanismen dazwischen. Mindestens mal ein ReverseProxy und ein Fail2Ban. Scheint mir hier aber nicht der Fall zu sein. Das scheint mir hier aber nicht mal Ansatzweise gegeben zu sein, daher mein o.g Rat.
Die port Freigabe auf Port 80 hab ich auch gemacht.
Vermutlich wohl nicht 
Du kannst das aber kinderleicht checken...
Rennt der Apache auf Linux oder einem Raspberry Pi ??
Dann kannst du mit tcpdump sehen ob die FritzBox wirklich inbound TCP 80 Pakete vom Internet an diese IP forwardet.
apt install tcpdump
installiert das Tool. Und wenn deine Netz Schnittstelle eth0 ist (Check mit ifconfig) dann lautet das Kommando:
tcpdump -i eth0 port 80
Ist eth0 deine einzige Schnittstelle im Server reicht auch ein schlichtes tcpdump port 80.
Alternativ kannst du einen Wireshark Sniffer PC mit gleicher interner IP mal anklemmen und mit Wireshark sehen ob du dort eingehende TCP 80 Pakete aus dem Internet bekommst. (Apachen natürlich für den Test abziehen !)
Kommen keine an, macht die FB auch kein TCP 80 Forwarding !
Benutzt du fatalerweise Winblows als OS, dann schlägt die interne Winblows Firewall zu. Die blockt per Default eingehenden Pakete von fremden IP Netzen.
Geforwardete HTTP Pakete aus dem Internet haben ja fremde Absender IPs die dann in der Winblows Firewall hängenbleiben. Das musst du dann zwingend in den Firewall Settings anpassen.
Bei der FB muss man zudem aufpassen, damit sie nicht denkt die eingehenden TCP 80 HTTP Frames sind für sie selber und ihr Web GUI. Dann dropt sie nämlich diesen Traffic und leitet ihn nicht weiter !
Du musst dann ihr eigenes GUI auf dem DSL/WAN Port deaktivieren.
Testweise kannst du mal eine Port Translation machen also eingehende TCP 8080 Pakete dann auf lokal TCP 80 forwarden. Das geht immer.
Extern dann http://<WAN_IP_FritzBox>:8080 verwenden !
Bedenke auch das du von extern zugreifen musst mit Smartphone über das Mobilnetz usw.
Von intern die externen Port Forwarding IP also die DSL / Internet IP des Routers anzuprechen scheitert zu 99% da die meisten der Router kein NAT_Hairpinning können. Dazu gehört auch die FritzBox.
Logischerweise sollte der interne Server eine feste statische IP bekommen und keine per DHCP. Wenn DHCP dann mit einer Reservierung über die Mac Adresse im FB DHCP Server so das die quasi immer fest ist.
Andernfalls könnte durch die Dynmaik von DHCP die feste Port Forwarding Regel ins Nirwana laufen !!
Moin,
du machst nen Denkfehler: ERST richtet man sowas ein, DANN hängt man den ins Internet...
Falls du aber willst - suche halt mal nach deinem Router-Namen und Port-Forward bei Google, das geht recht einfach. Dir muss nur bewusst sein das du ggf. damit bei nem erfolgreichen Angriff auch gleich dein Netz offenlegst.
du machst nen Denkfehler: ERST richtet man sowas ein, DANN hängt man den ins Internet...
Falls du aber willst - suche halt mal nach deinem Router-Namen und Port-Forward bei Google, das geht recht einfach. Dir muss nur bewusst sein das du ggf. damit bei nem erfolgreichen Angriff auch gleich dein Netz offenlegst.
Von innen mit der externen IP draufzukommen funktioniert ohne NAT-Loopback meines Wissens nicht.
Teste mit deiner IP z.B: aus dem Tor-Netzwerk, ob du zugreifen kannst und deine Portweiterleitung funktioniert.
Hast du CG-NAT (Unitymedia Privakunden)?
Dann ist keine Weiterleitung möglich.
Teste mit deiner IP z.B: aus dem Tor-Netzwerk, ob du zugreifen kannst und deine Portweiterleitung funktioniert.
Hast du CG-NAT (Unitymedia Privakunden)?
Dann ist keine Weiterleitung möglich.
Da vom TO ja keinerlei Feedback kommt sieht man ja schon das wohl das Interesse an einer zielführenden Lösung eh gegen Null geht...
