Avatar billede quaid Nybegynder
29. juni 2002 - 12:21 Der er 13 kommentarer og
1 løsning

port på apace.

Jeg ar apache på min maskine. Problemet er: Hvis jeg kalder min egen server på ip adressen, så fortæller firewallen (Zonealarm) at der bliver spurgt på en port og om det er ok at lade kommunikationn slippe igennem til apache. Nu viser det sig at det er forskellige portnummere der bliver spurgt på hvergang?? Dette forstår jeg ikke. min umiddelbare ide var at give firewallen tiladelse til at slippe kommunikation igennem, på en bestemt port, og ikke bare alle mulige porte som det nu passer systemet at bruge. Konkret så er mit spørgsmål nok mere om der er noget sikkerheds problem i ikke at præcisere hvilke porte der må benyttes??
QD::
Avatar billede fiskesuppe Nybegynder
29. juni 2002 - 12:26 #1
På CyberCitys hjemmeside står følgende:

---
Hvis du f.eks. har en hjemmesideserver kørende på din computer med IP 10.0.0.2, skal du skrive følgende:
set nat entry add 10.0.0.2 80 <WAN-IP> 80 tcp
---

Det ser altså ud til at det er port 80 som skal benyttes. Men hvad er det for nogle andre porte der bliver anmodet om at få lov til at benytte af ZoneAlarm?
Avatar billede quaid Nybegynder
29. juni 2002 - 12:33 #2
Ja jeg mente også at det var port 80.
Prøvede lige igen. 1373 1375 1442.
QD::
Avatar billede fiskesuppe Nybegynder
29. juni 2002 - 12:39 #3
De porte har jeg ikke hørt om før. Prøv at hente dette program:
http://download.com.com/3000-2085-8976720.html?tag=lst-0-1
Det kan fortælle dig hvilke programmer der bruger portene og med forbindelse til hvilken IP.
Avatar billede fiskesuppe Nybegynder
29. juni 2002 - 12:40 #4
For er du sikker på at det er Apache der vil bruge de porte? Og sig så lige hvad der står om de tre porte du nævnte.
Avatar billede quaid Nybegynder
29. juni 2002 - 12:54 #5
Nej det er ikke apache der beder om lov til at bruge portene. Det er forbindelsen udefra, når jeg kalder min egen server på ip adressen.
QD::
Avatar billede quaid Nybegynder
29. juni 2002 - 12:56 #6
Jeg kører win 98, og det program du omtaler er kun til win 2000 +
QD::
Avatar billede sukos Juniormester
29. juni 2002 - 13:01 #7
Bruger du
Listen 80
i din httpd.conf?
Avatar billede quaid Nybegynder
29. juni 2002 - 13:06 #8
Ja det gør jeg.
QD::
Avatar billede thomasledet Nybegynder
29. juni 2002 - 13:12 #9
Apache LYTTER på port 80, men det betyder ikke, at den ikke vælger at bruge en anden port til at svare tilbage. Derfor kan apache sagtens kræve andre porte end port 80.

Dvs. Der kommer en forespørgsel til din computer på port 80. Dit operativsystem ved, at der er en service (apache), der har bundet sig (bind) til denne port og sender derfor forespørgslen videre til denne service. Apache analyserer forespørgslen og finder ud af, hvad der skal sendes tilbage. For at port 80 stadig kan være bundet til "incoming" connections, vælger apache at åbne en forbindelse til forespørgeren (klienten) og sender sit svar via denne forbindelse... denne forbindelse kan laves på alle ubrugte port over 1024...

jeg er ikke den store zonealarm ekspert (har faktisk aldrig brugt det - foretrækker iptables - http://netfilter.samba.org ), så jeg ved ikke helt, hvordan zonealarm fungerer. Men den må næsten have en feature, der kan tillade et program at lytte på en port, men bruge en hvilken som helst port til at svare tilbage på. Kig i dokumentationen.
Avatar billede quaid Nybegynder
29. juni 2002 - 13:19 #10
Så er det jo opklaret. Og det lyder da som meget fornuftigt at den stadig er istand til at lytte samtidig med at den yder en anden service på en anden port.
TAK.
QD::
Avatar billede benny.dk Nybegynder
29. juni 2002 - 13:40 #11
Jeg er ening i at det lyder sansynligt, men ikek desto mindre mener jeg det er forkert......

IE sender en forespørgsel på port 80 til apache som svare tilbage på samme port og derefter bliver sessionen lukket.

Prøv at lege IE selv og lav en telnet til apacheserveren på port 80, den anmoder ikek om at skifte port.

Det som IE rent fakstisk gør når den laver forespørgslen er at telnette til IP adressen på port 80 og ikke andet, så det er nemt at teste det selv.

/benny.dk
Avatar billede benny.dk Nybegynder
29. juni 2002 - 13:43 #12
Fortæller ZoneAlarm ikke hvad det er for en ip-adresse der forespørger?

Som du foretæller det i spørgsmålet er det fra nettet til din maskine forespørgslen kommer og derfor er det ikke apache som skifter port.

Hvis det var den anden vej ville den spørge om apache måtte reagere som server til nettet, så vidt jeg hukser.

/benny.dk
Avatar billede thomasledet Nybegynder
29. juni 2002 - 14:34 #13
ingen anmoder om at skifte port... det hele kører seamless for brugeren... derudover kan det også være andre ting som fx reverse-dns som apache har gang i...
Avatar billede benny.dk Nybegynder
30. juni 2002 - 09:12 #14
thomasledet prøv så at læse hvad du selv har skrevet: "...vælger apache at åbne en forbindelse til forespørgeren (klienten) og sende sit svar via denne forbindelse... denne forbindelse kan laves på alle ubrugte port over 1024...). Det er da ikke seamless for brugen hvis du laver en alm telnet til port 80 (leger din egen webbrowser). Som jeg sagde før så kommer der en forespørgsel, så sendes der svar retur og så lukkes forbindelsen. Der er dog nogle programmer som fusker og beholder forbindelsen åben.

Senest skriver du: "derudover kan det også være andre ting som fx reverse-dns som apache har gang i...". Dette lyder mere sandsynligt, men da det ifølge Quaid er "så fortæller firewallen (Zonealarm) at der bliver spurgt på en port og om det er ok at lade kommunikationn slippe igennem til apache", så er det en forespørgsel fra internettet til lokalnettet. Så den holder jo nok ikke.

/benny.dk
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester