Squid und Zugriff auf Localhost

Krush

Newbie
Hallo zusammen,

ich habe squid als Proxyserver im Einsatz. Auf dem Gerät läuft ebenfalls webmin. Den Zugriff auf Webmin möchte ich nun nur von einigen Arbeitsstationen aus erlauben (und das ohne Proxy).

Der Zugriff über Squid auf den lokalen Webmin sollte gar nicht mehr möglich sein. Dazu habe ich die Option:

# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

gesetzt die sich für mich danach anhörte. Dennoch ist der Zugriff auf Webmin über Squid noch möglich. Ich denke das hat damit zu tun das die webmin Ports (10000 / usermin 20000) mit in der Liste:

acl Safe_ports port 1025-65535 # unregistered ports

enthalten sind. Ich möchte eigentlich das über den Squid gar kein Zugriff auf lokale Ports möglich ist, da ich das für eine grosse Sicherheitslücke halte. Wie stelle ich das ein?
 
OP
Krush

Krush

Newbie
Hallo nochmal,

ich bin selber etwas weiter gekommen. Und zwar habe ich versucht über den Proxy auf den DNS Namen des Servers zuzugreifen - also z.B.:

http://gate:10000

Diesen Namen löst er natürlich lokal mit dem internen interface auf (nicht 127.0.0.1) - also z.B.

192.168.10.1

Auf dieser Adresse sind Zugriffe natürlich nicht gesperrt. Da hilft dann noch ein:

acl to_localhost dst 127.0.0.0/8 192.168.10.1/32

Aber was ist mit dem DSL Interface ???

So kann ich als Anwender einfach auf www.wieistmeineip.de schauen und dann mal fleissig versuchen über den Proxy auf lokale Ports zuzugreifen.

Das halte ich für eine gewaltige Sicherheitslücke.

Viele Grüße
Krush
 

Stefan Staeglich

Advanced Hacker
Man sollte den Port von Webmin für Zugriff aus dem Internet mit iptables sperren. Aber was hat der squid damit zu tun? Den kann man doch vom Internet auß gar nicht erreichen, zumal er, wenn er richtig konfiguriert ist, nur Anfragen aus deinem Subnet bearbeitet.
 
OP
Krush

Krush

Newbie
Hallo,

ich habe von Internet nichts gesagt. Mir gehts um Zugriffe aus dem LAN.

iptables greift nunmal bei Zugriffen von localhost auf localhost nicht.

Viele Grüße
Krush
 

Stefan Staeglich

Advanced Hacker
Krush schrieb:
Hallo,

ich habe von Internet nichts gesagt. Mir gehts um Zugriffe aus dem LAN.

iptables greift nunmal bei Zugriffen von localhost auf localhost nicht.

Viele Grüße
Krush

Und was ist hiermit?

Aber was ist mit dem DSL Interface ???

So kann ich als Anwender einfach auf www.wieistmeineip.de schauen und dann mal fleissig versuchen über den Proxy auf lokale Ports zuzugreifen.

Das halte ich für eine gewaltige Sicherheitslücke.

Ehrlich gesagt verstehe ich nicht, was du willst bzw. wo dein Problem ist. www.wieistmeineip.de gibt nur die IP-Adresse aus, die dein Server im Internet hat und nicht die lokale, die jawohl sowieso bekannt bzw. leicht nachzuschlagen sein sollte.

Wenn du es ganz sicher haben willst starte den ollen webmin doch einfach nur dann, wenn du ihn auch brauchst.

Jedenfalls verstehe ich nicht was du meinst. Meine Glaskugel scheint heute nicht so gut zu funktionieren.
 
OP
Krush

Krush

Newbie
Hallo,

ich denke nicht das du eine Glaskugel benötigst um meine Anforderungen zu verstehen. Dafür habe ich mein Problem zu detailiert beschrieben. Es kann natürlich sein das du aus deiner Sicht darin kein Problem siehst, das ist aber etwas anders.

Mir gehts auch nicht nur um den Webmin sondern um das grundsätzliche Problem. Ich möchte halt nicht das Benutzer aus dem LAN auf Dienste zugreifen können auf die Sie nicht dürfen.

Über diesen Weg wäre es sogar theoretisch möglich auf jeden beliebigen lokalen Dienst zuzugreifen der auf dem Server läuft.

Und wieistmeineip.de erwähne ich weil der Nutzer auch die dort angegebene IP über den Proxy mit jedem beliebigen Port ansprechen kann. Wie bereits zuvor erwänht funktioniert auch die lokale IP. Da die aber statisch ist kann man sie leicht in eine ACL einfügen.

Viele Grüße
Krush
 

Thomas_A

Newbie
Hallo,

dann würde ich einfach die Firewall so konfigurieren das diese Ports/Dienste gesperrt sind. Versuche es hierzu doch einfach mal in den Firewalloptionen die du über Yast erreichen kannst.

Dort kannst du für die interne / externe Zone Dienste erlauben - vielleicht ist dort der Zugriff auf Webmin und sonstige unnötigen Dienste noch verhanden.
 
OP
Krush

Krush

Newbie
Danke für den Tip, aber zum einen konfiguriere ich meine Firewall nicht mit "Yast" und zum anderen ist die Firewall wie bereits mehrfach gesaht hier wirkungslos.

Die einzige Möglichkeit die ich sehe das Problem zu lösen ist den Squid Start an das lokale Interface zu binden

MfG
Krush
 
Oben