suwelo
Member
Moin zusammen,
auf meinem System werkeln iptables, der apache2 und seit kurzem modsecurity vor sich hin.
Modsecurity verhindert z.b. Zugriffe auf den "apache" über die IP Adresse und kann Script Attacken blocken bzw. umleiten.
Netzwerktopologie:
Eine FritzBox habe ich als NAT Router und diese leitet Anfragen nach draussen.
Eine Portfreigabe an der FritzBox, Port 80, ist geöffnet und leitet HTTP Anfragen an den Apache2 von aussen nach innen (Ubuntu 16.04.2 Server).
Die Systeme befinden sich alle im gleichen "Private Class C" Netzwerksegment, ausser der öffentlichen IP Adresse der FritzBox, die ich vom Provider zugewiesen bekomme.
iptables:
ich habe in der iptables einige IP Adressen eingetragen, die ich an der Konsole in nachfolgender Form eingebe.
Ein "iptables -L" zeigt mir:
Selbstversuche mit der eigenen öffentlichen IP Adresse, die ich zuvor in die iptables eingefügt habe, suchen sich über den Aufruf der DynDomain erstmal tot und erzeugen danach, soweit ich mich erinnere, einen 404 Fehler - "Page not found or unable to stat".
Soweit ist das denke ich in Ordnung, zumal auch modsecurity eine Seitenumleitung vornimmt, wenn ein "HTTP get request" über die IP Adresse ohne HTTP Header an Port 80 ankommt.
Was mich nun verwirrt sind Einträge in der apache_error.log von IP Adressen, die über IP Tables gesperrt sein sollten aber dennoch nachfolgende Einträge erzeugen:
Im letzten Beispiel habe ich aus Datenschutzgründen die "client IP.AD.DR.ESS" heraus genommen. Die IP Adressen sind jedoch in gezeigten Logauszügen weiterhin auffindbar, obwohl in den iptables vollständig gesperrt.
Mir ist auch klar, dass die Portweiterleitung der FritzBox ankommende HTTP Anfragen grundsätzlich weiterleiten muss und die FritzBox wohl keinen Einfluss auf das logging ausübt.
Dennoch bin ich der Meinung, dass Logauszüge wie im letzten Beispiel genannt, keinen Logeintrag erzeugen dürften.
Oder denke ich da was falsches zusammen?
Kann mir evtl. jemand dabei helfen, meinen Denkfehler zu entwirren?
Danke
:???:
auf meinem System werkeln iptables, der apache2 und seit kurzem modsecurity vor sich hin.
Modsecurity verhindert z.b. Zugriffe auf den "apache" über die IP Adresse und kann Script Attacken blocken bzw. umleiten.
Netzwerktopologie:
Eine FritzBox habe ich als NAT Router und diese leitet Anfragen nach draussen.
Eine Portfreigabe an der FritzBox, Port 80, ist geöffnet und leitet HTTP Anfragen an den Apache2 von aussen nach innen (Ubuntu 16.04.2 Server).
Die Systeme befinden sich alle im gleichen "Private Class C" Netzwerksegment, ausser der öffentlichen IP Adresse der FritzBox, die ich vom Provider zugewiesen bekomme.
iptables:
ich habe in der iptables einige IP Adressen eingetragen, die ich an der Konsole in nachfolgender Form eingebe.
Code:
iptables -A INPUT -s IPADD.RESS/16 -i eth0 -p tcp --dport 0:65534 -j DROP
iptables -A INPUT -s IPADD.RESS/16 -i eth0 -p udp --dport 0:65534 -j DROP
Ein "iptables -L" zeigt mir:
Code:
DROP tcp -- IPADD.RESS/16 anywhere tcp dpts:0:65534
DROP udp -- IPADD.RESS/16 anywhere udp dpts:0:65534
Selbstversuche mit der eigenen öffentlichen IP Adresse, die ich zuvor in die iptables eingefügt habe, suchen sich über den Aufruf der DynDomain erstmal tot und erzeugen danach, soweit ich mich erinnere, einen 404 Fehler - "Page not found or unable to stat".
Soweit ist das denke ich in Ordnung, zumal auch modsecurity eine Seitenumleitung vornimmt, wenn ein "HTTP get request" über die IP Adresse ohne HTTP Header an Port 80 ankommt.
Was mich nun verwirrt sind Einträge in der apache_error.log von IP Adressen, die über IP Tables gesperrt sein sollten aber dennoch nachfolgende Einträge erzeugen:
Code:
[Sat Aug 05 15:52:57.277333 2017] [core:error] [pid 29092] [client IP.AD.DR.ESS:23366] AH00126: Invalid URI in request GET login.cgi HTTP/1.0
ODER
[Fri Aug 04 22:51:33.398778 2017] [:error] [pid 9688] [client IP.AD.DR.ESS:50633] script '/var/www/html/vhosts/host.dyn-domain.org/html/testproxy.php' not found or unable to stat
Im letzten Beispiel habe ich aus Datenschutzgründen die "client IP.AD.DR.ESS" heraus genommen. Die IP Adressen sind jedoch in gezeigten Logauszügen weiterhin auffindbar, obwohl in den iptables vollständig gesperrt.
Mir ist auch klar, dass die Portweiterleitung der FritzBox ankommende HTTP Anfragen grundsätzlich weiterleiten muss und die FritzBox wohl keinen Einfluss auf das logging ausübt.
Dennoch bin ich der Meinung, dass Logauszüge wie im letzten Beispiel genannt, keinen Logeintrag erzeugen dürften.
Oder denke ich da was falsches zusammen?
Kann mir evtl. jemand dabei helfen, meinen Denkfehler zu entwirren?
Danke
:???: