nicht angemeldet
Hallo Christoph
ups. Viel text...
Virtueller Host1 und IP- Adresse: gewöhnliche Seite.
Virtueller Host2 virtueller Server.
ups, wo nimmst du plötzlich den Unterschied von "virtuellem host" unjd "virtuellem Server" her?
Ich meine hier das selbe. "host" und "server" sind, wenn die beiden virtuell sind, gar nicht so verschieden :)
Wenn jetzt der Name des virtuelle Hosts2 nicht im Internet aufgelöst wird, sondern nur im Intranet, dann sollte es gehen.
Stimmt teilweise, hat aber mit der Namensauflösung wenig bis nix zu tun. Die Crux ist dabei, daß _jeder_ unbekannte Adresßname auf das DocumentRoot des ersten virtuellen hosts umgeleitet wird, sofern der lokale Apache aktiv ist, aber keine Intenretverbindung besteht.
äh? Moment:
Wir haben der Rechner A, B und C im lokalen Netz und den Server S
S hat IP 192.168.1.1
A fragt S mit IP-Adresse und bekommt die Standardseite.
B fragt S mit hostname und bekommt prompt die dem virtuellem host zugewiesene Seite.
C fragt nach Google und bekommt was? - Nichts. Weil er schon www.google.de nicht in einen IP auflösen kann.
Und zwar unabhängig davon, ob du auch noch einen lokalen DHCP/DNS-Server laufen hast. Also: wenn du _einen_ Namen http://fastix.mydomain.de als virtuellen host definiert hast, greift auch http://fastix.korthaus.de oder http://www.korthaus.net auf dasselbe DocumentRoot-Verzeichnis zu (offline bzw. am lokalen Apache), sofern es dafür nicht einen eigenen virtuellen Host gibt
Aber nur, wenn der DNS (oder der DNS seines Proxys, oder dessen host- datei) die IP auflöst.
Also: ich bin nicht im netz. Mache mir eine hosts- Datei mit fastix.local und der ip von fastix.dyndns.org.
Jetzt schicke ich den Request los. Und bekäme die Seite, wenn da nicht
Order deny, allow
deny from all
allow from 192.168.0.*
wäre. Deshalb schrieb ich ja: "musst"
Nein. Das stimmt so zumindest bei Apache 2.0.x nicht mehr, der will
bei mir keine Platzhalter (Sternchen) haben, sondern die volle IP. Besser wäre hier bei "allow" ohnehin die Angabe des "full qualified" Hostname anstelle einer IP. Das können durchaus auch mehrere Hostnamen
sein. Die Rolle der "hosts"-Datei darf man dabei keinesfalls (egal, auf welchem System) unterschätzen!
Es geht natürlich auch mit einer host-Liste.
Die Auflösung der IP- Adressen des Requests findest aber auf dem Server statt. Wenn der die hosts nicht kennt...
Umgedreht wäre es allerdings (theoretisch) möglich, bei Angabe der Hostnamen den DNS zu manipulieren um dem Apache als erlaubter host
gegenüberzutreten. Mit der IP, und auch die kann als Liste an allow übergeben werden schließ man sowas aus. Bliebe noch IP-Spoofing zum Einbruch ins Intranet.
Das sind aus meiner Sicht gleich mehrere Fehler.
- "aus dem Internet zugreifen" auf eine _private_ IP (oder ein privates Netz) sollte eh nicht in dieser Form möglich sein. Ausnahmen könnten die Regel bestätigen
Da ist so einer :)
Hat aber für den Apache _so_gut_wie_ keinen Einfluß auf dessen virtuelle hosts
Doch ich kann im Intranet: http://servername.local auflösen
- ein DNS-Server ist nur dann von Bedeutung (auch im Intranet), wenn der Apache ihn kennt.
Oder der Client, also der Rechner, auf dem der Browser ausgeführt wird, oder falls es noch einen Proxy gibt der.... Der Apache braucht den eigentlich blos, um den Hostname zur IP des Clients zu ermitteln. Fürs Logging, oder nach Deiner Methode: zur Ermittlung der erlaubten Rechner.
Für noch mehr gibts dann noch den Proxy
öhm, nö. Laß das mal (vorerst) weg, hat mit der Nachfrage nur mittelbar zu tun
Jepp. Wir wollen niemanden erschlagen.
Firewalls mit Masquerading
Genau sowas habe ich aber am laufen. Ist bei einem Netz sinnvoll. Und es ist eigentlich was ganz einfaches. Ein DSL- Router. Mein "Webserver" hat die IP 192.168.10.10 (Der liefert übrigens immer error 400 - index.html :))
Den fastix.dyndns.org kriegts Du also nur über Masquerrading. Und nur Port 80 oder 21. Das wars dann...
ohje. Eine "Firewall mit Masquerading" ist zwar prinzipiell auch innerhalb eines Intranet (oder LAN) möglich, macht da aber in der Regel keinen Sinn.
An den anderen Tagen auch nicht unbedingt - Ausnahmen.... :)
Wo sie unbedingt installiert sein sollte, ist der "host", der für ein ganzes Intranet die "öffentlichen" requests durchrouten soll. Was soll eine Firewall im Intranet ? Da _muß_ man doch voraussetzen können, daß keiner der angeschlossenen Rechner Unsinn anstellt ...
Oh, oh! 90 Prozent aller Hacks laufen Netzintern, habe ich mal gelesen. Trotzdem macht das kaum Sinn. Aber: was ist eine DMZ (Demilitarisierte Zone? Eben. Ein Netzbereich, der sowohl gegen das Internet als auch gegen das Intranet gesichert ist. Womit? Firewall... Warum? 90% aller H....
Portmapping
Jetzt sind wir hundert Kilometer von der Frage weg.
und den unschuldig verarmten fastix
hehe, den unschuldig armen CS gibts auch - sollen wir jetzt unsere Unschuld oder unsere Armut gerecht untereinander aufteilen ;-)
fastix