Exposed Host: Zugriff nur von 2 bestimmten IP Adressen zulassen

Cumu

Cumu

Neuer User
Ich habe bei einem Kunden ein Problem. In seinem Netzwerk läuft ein Apache Server hinter der FB 7390, die als ADSL Router eingesetzt wird. Auf diesem Server werden Daten eines Spezialprogramms verwaltet. Die Datensicherung auf diesem Server wird aus der Ferne via Internet gemacht. Dazu muss ich nun den Server mit der IP 192.168.10.1 via FB erreichbar machen. Und nun möchte ich natürlich, dass nur der Datensicherungsdienst von einer bestimmten IP aus darauf zugreifen kann, d.h. ein Exposed Host mit eingeschränkten Zugriffsrechten (Einschränkung der IP-Quelladresse).

Wie stelle ich das auf einer 7390 ein? Brauche ich dazu Telnet? Danke für eure Hilfe!
 
Moin
Das mit dem Exposed Host würd ich mir 5x überlegen.
Das ist, meines Erachtens, genauso als wenn du die Firewall komplett ausstellst.
Dann lieber die Fernwartung für die Fritzbox aktivieren und eine Freigabe für den Backuprechner erstellen die temporär an-, oder ausgehakt wird.
 
Die einzig vernünftige Lösung für ein solches Problem ist ein VPN, bei dem die Zieladresse manuell eingeschränkt wird (Anleitung bei AVM für die manuelle Anpassung eines Box-Box-VPN, kann aber auch mit einem Client-Box-VPN gemacht werden). Ansonsten ist für eine Webserveranfrage eine Einrichtung als exposed host auch mit Kanonen auf Spatzen geschossen (erst recht, wenn es nur um zwei Clienten geht).

Gruß Telefonmännchen
 
Danke euch 2 für eure Antworten. Und ich muss ech (leider) vollkommen recht geben. Doch mein Kunde hat nun mal diese Software laufen (auch das ist mit Kanonen auf Spatzen geschossen), die eine Branchenlösung als Voraussetzung hat. Aber eben: Normal arbeiten damit einige Dutzend Clients, hier nur 2 und auch das nur täglich wenige Minuten...

Doch das Problem habe ich trotzdem noch: Ich muss den Server von aussen für 2 verschiedene IP's erreichbar machen, für die automatische Datensicherung. Das lässt sich doch sicher irgendwie einstellen oder? In vielen billigen Routern kann ich den IP-Adressbereich angeben, der auf gewisse Ports zugreifen kann. Und wenn ich ehrlich bin, dann schränke ich den Zugriff in mein Netzwerk lieber auf 2 Adressen ein, als die entsprechenden Ports für alle aufzumachen... Und deshalb ist es ja auch keine Exposed Host Anwendung im eigentlichen (und damit riskanten) Sinn. Oder?

Also: Nun wäre ich froh um einen Tip, wie ich mein Problem einfach lösen kann. Danke im voraus!
 
Richte einfach Portweiterleitung nur für wirklich benötigten Ports, am PC wo Apache ect. läuft kannst ja in Firewall alles blockieren und gibst nur Netzwerk + die 2 IPs als Ausnahme an.

Apache selbst kann man ja auch mit htaccess einschränken.
 
Jupp, das wäre eine Lösung. Ich habe den Admin des Servers schon mal nach den Ports gefragt. Denn ich kenne mich mit dem Apache Server überhaupt nicht aus und müsste mich da erstmal ein wenig einlesen... Hier ist nun aber eine schnelle, günstige und trotzdem sichere Lösung gefragt. Ich gehe aber davon aus, dass der Apache Server seine Firewall schon so eingestellt hat, dass niemand ausser den genannten IPs da drauf kann...

Mir ist dieser Apache Server sowieso ein Dorn im Auge... und damit auch die ganze Software, die da (noch) mitbetrieben wird. Es ist ja lächerlich für einen kleinen Betrieb mit kaum 5 Angestellten und 2 Client-PCs einen Apache Server im eigenen Haus laufen zu haben... und alleine für die Datensicherung monatlich CHF 50.- abzudrücken!! Und genau das wird dann ein nächster Schritt sein: Weg damit!

Ich denke, ich müsste Zugriff auf die AVM Firewall haben. Lese mich derzeit grad ein wenig ein, wie ich das bewerkstellige ;-) Oder gibt es einfachere/bessere Lösungen?
 
Apache läuft Standard auf Port 80 und 443, theoretisch sollten die beiden Ports reichen weiterzuleiten.

Am PC halt mit Firewall Zugriff auf die IPs und Netzwerk beschränken.

Aber 50CHF für Datensicherung finde ich etwas teuer, da kauft euch mal besser z.B. ein NAS von Synology oder QNAP mit Platz für min. 2 Festplatten, dann halt 2* 1-2TB (RAID Spiegelung, falls eine Platte ausfällt) rein und dann sollte es auch passen, habt im Netzwerk volles GBit für Sicherung, und seid nicht auf einen Dienstleister angewiesen, und die Internetleitung wird ggf. nicht dafür ausgelastet. Solch ein NAS gibt es für etwa 100-200€ + die Platten. Sollte sich schnell rechnen bei euch. Zugriff von außen wäre auch möglich über Webseite, FTP, VPN, ect. das teil kann auch sämtliches übernehmen, was Sicherung bzw Sync angeht oder Emailserver ect. pp.
 
Zuletzt bearbeitet von einem Moderator:
Portfreigaben oder Weiterleitungen vom Router zum lokalen Rechner sind/sollten kein Problem sein.
Schwieriger wirds nur, wenn "Artfremde" Dienste die auf der Box selber laufen, freigegeben werden sollen.
Das wäre mit einem fähigen Texteditor und der exportierten Konfig der FritzBox trotzdem möglich.
Aber in deinem Fall wahrscheinlich nicht notwendig.
Nur wie man nur 2 externe IPs den Zugriff erlauben soll, ist mir schleierhaft.
Dafür fällt mir auf einer "Vanilla" Box (nicht manipuliert, gemoddet, gefreetzt) nichts zu ein.
 
Mit den 2 Firewall spart man sich das basteln an der FB, die FB blockt so alle unnötigen Ports ab, und die PC Firewall alles was falsche IP hat.
 
HabNeFritzbox schrieb:
Apache läuft Standard auf Port 80 und 443, theoretisch sollten die beiden Ports reichen weiterzuleiten.
Zum Vergrößern anklicken....

Jupp, das weiss ich. Nur scheint mir die Firma da ein Spezialdienst laufen haben. Und ich traue es denen zu, dass sie da eigene Ports brauchen.

HabNeFritzbox schrieb:
Aber 50CHF für Datensicherung finde ich etwas teuer, da kauft euch mal besser z.B. ein NAS von Synology oder QNAP mit Platz für min. 2 Festplatten, dann halt 2* 1-2TB (RAID Spiegelung, falls eine Platte ausfällt) rein und dann sollte es auch passen, habt im Netzwerk volles GBit für Sicherung, und seid nicht auf einen Dienstleister angewiesen, und die Internetleitung wird ggf. nicht dafür ausgelastet. Solch ein NAS gibt es für etwa 100-200€ + die Platten. Sollte sich schnell rechnen bei euch. Zugriff von außen wäre auch möglich über Webseite, FTP, VPN, ect. das teil kann auch sämtliches übernehmen, was Sicherung bzw Sync angeht oder Emailserver ect. pp.
Zum Vergrößern anklicken....

Gut, dann stehe ich mit der Meinung schon mal nicht mehr alleine da... :) Und die Idee hatte ich genau auch, als ich das Netzwerk sah... aber eben: Weil auf dem Apache appikationsspezifische Dienste laufen, kann ich den Server nicht rausschmeissen, solange diese Applikation noch gebraucht wird. Da es aber eine Branchenlösung ist (Weinbau), kann ich das zusätzlich nicht so einfach rausschmeissen... die sind (noch) angewiesen auf die Software. Mir scheint langsam aber sicher, dass sich da eine Firma ein kleines Königreich aufgebaut hat und nun alle Kunden mit tollen Kosten eindeckt...

Die Internetleitung ist wegen der Datensicherung mit Garantie nicht lange ausgelastet, denn ich behaupte mal, dass da keine 100MB an Daten gesichert werden müssen... Der Server ist, wie ich rausgefunden habe, mittlerweilen 7 Jahre alt (und war damals schon eine Occasion)!! Man legte mir beim Support nahe, den Server in bälde abzulösen durch einen neuen Server... dazu habe ich mich dann nicht geäussert... :D Der einzige Vorteil, den dieser Service bringt ist die Tatsache, dass die Daten ausser Hause gesichert sind und im Brandfall dann die Sicherung noch da wäre... aber auch das kann man einfach lösen: Trotz Raid-0 eine externe Festplatte zur Sicherung anhängen und diese monatlich austauschen. Dann hätte man wenigstens eine etwas ältere Datensicherung für den Fall, dass vor Ort alles niederbrennen würde. Das mache ich in meiner Firma so: Da tausche ich einfach alle 2 Wochen die externe Festplatte aus und nehme die nicht angehängte mit nach Hause.

OK, back to Topic: Ich denke so langsam, dass ich um einen Exposed Host nicht rumkomme ohne die FB zu modden! Da muss ich dann wohl einfach das Vertrauen haben, dass die Firewall im Server richtig eingestellt ist... sollte doch noch jemand eine einfache Idee haben, ich bin jederzeit dankbarer Empfänger! ;)
 
Ich würde einfach in der ar7.cfg folgendes eingeben:
Code: 
 forwardrules = "tcp 1.1.1.1:80 192.168.10.1:80 0", 
                "tcp 2.2.2.2:80 192.168.10.1:80 0",
                "tcp 1.1.1.1:443 192.168.10.1:443 0",
                "tcp 2.2.2.2:443 192.168.10.1:443 0";
wobei 1.1.1.1 für die 1. IP steht und 2.2.2.2 für die 2.
 
Auf dem NAS hast vollen Root Zugriff bei Synology, da wären eher auch Apache Modul, Tomcat, JAVA ect. kein Problem.

Aber ist auch nur eine Alternative, und bei 100MB pro Tag würde selbst Gratis Cloud bei Amazon und co. mit 5GB für über 1 Monat reichen.
 
eisbaerin schrieb:
Ich würde einfach in der ar7.cfg folgendes eingeben:
Code: 
 forwardrules = "tcp 1.1.1.1:80 192.168.10.1:80 0", 
                "tcp 2.2.2.2:80 192.168.10.1:80 0",
                "tcp 1.1.1.1:443 192.168.10.1:443 0",
                "tcp 2.2.2.2:443 192.168.10.1:443 0";
wobei 1.1.1.1 für die 1. IP steht und 2.2.2.2 für die 2.
Zum Vergrößern anklicken....

Bingo!! Das könnte es sein! Na, dann schauen wir mal. Ich wusste doch, dass ich irgendwie an diese Einstellungen ran kommen muss! Jetzt habe ich endlich mal einen Grund, mich vertiefter in die FB einzuarbeiten! Danke, ich werde hier rückmelden, wie das gelaufen ist!!
 
Cumu schrieb:
Der einzige Vorteil, den dieser Service bringt ist die Tatsache, dass die Daten ausser Hause gesichert sind und im Brandfall dann die Sicherung noch da wäre... aber auch das kann man einfach lösen: Trotz Raid-0 eine externe Festplatte zur Sicherung anhängen und diese monatlich austauschen. Dann hätte man wenigstens eine etwas ältere Datensicherung für den Fall, dass vor Ort alles niederbrennen würde. Das mache ich in meiner Firma so: Da tausche ich einfach alle 2 Wochen die externe Festplatte aus und nehme die nicht angehängte mit nach Hause.
Zum Vergrößern anklicken....

Die externe Sicherung kann durchaus ein wichtiger Punkt sein. Eine Sicherung, die 2 oder 4 Wochen alt ist, kann im Ernstfall sehr alt sein. Was ist, wenn die ganzen Aufträge der letzten Wochen weg sind?
Dazu kommt, dass dieses regelmäßige Austauschen auch tatsächlich gemacht werden muss, man neigt gern dazu, so etwas zu vergessen.
 
Sola, nun habe ich es geschafft, die FB so zu konfigurieren, wie es eisbärin vorschlug. musste mich zuerst ein wenig einlesen, wie ich diese ar7.cfg bearbeite. und zuvor aus der ferne telnet einschalte. hat aber alles geklappt! nun muss ich abwarten, ob die datensicherung läuft, da ich das ja nicht wirklich testen kann. ich danke aber allen für die wertvollen inputs in so kurzer zeit. das hat mir sehr weitergeholfen und ich hoffe, dass es auch anderen weiterhilft, die hier mitlesen oder später suchen!
 
Hast du nach dem Bearbeiten noch ein ar7cfgchanged gemacht oder die FB rebootet?
Sonst wirkt die Änderung nicht.
 
Ja, schrieb ich doch: "oder die FB rebootet"
 
Sorry, hast recht. Danke aber trotzdem fürs Nachhaken. Ich wäre wohl nicht der erste gewesen, der das am Ende vergessen hätte... :D
 
Vorsicht noch, wenn du in der GUI bei den Portfreigaben was änderst, dann können deine Änderungen in der ar7.cfg gelöscht werden. Immer mal kontrollieren ob die noch da sind.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 191 (Mitglieder: 9, Gäste: 182)

Neueste Beiträge

Statistik des Forums

Themen
245,038
Beiträge
2,223,163
Mitglieder
371,842
Neuestes Mitglied
brnozy
Zurück
Oben