Apache Friends Support Forum

[oBdA]

Hallo zusammen!

Ich habe ein kleines Projekt unter XAMPP in den letzten Tagen zum Laufen gebracht. Nun möchte ich dieses einsatzfähig machen. Damit meine ich folgendes:
Ich möchte das Projekt ausschließlich lokal an meinem PC für mich nutzen, welcher mit dem Internet verbunden ist. Dabei soll gewährleistet sein, dass kein Zugriff von außerhalb möglich ist (auf Apache, MySQL, usw...). Da ich mich leider noch nicht so gut mit den Konfigurationsmöglichkeiten auskenne, stellen sich mir nun die folgenden Fragen:

1. Ist es möglich PHP und MySQL auch ohne den Apache-Server zu nutzen, da ich wie oben erwähnt das Projekt nur lokal nutzen möchte?
2. Kennt jemand eine Anleitung wie man das WAMP-System von außen abschotten kann bzw kann mir jemand erklären wie ich vorzugehen habe?

Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte

Viele Grüße
oBdA

[Wiedmann]

welcher mit dem Internet verbunden ist.

Und das heist genau?

Ist es möglich PHP und MySQL auch ohne den Apache-Server zu nutzen,

Ja, aber das hilft dir nicht.

Du willst ja eine Webanwendung entwickeln/nutzen. Und dafür ist natürlich ein Webserver wie der Apache die Voraussetzung.

[oBdA]

Erst einmal Danke für die schnelle Antwort!

Der PC hängt an einem Netzwerk, welches mittels eines Routers mit dem Internet verbunden ist.

Zum Thema Webanwendung:
Damit ist doch praktisch gemeint, dass neben dem eigentlichen PHP-Code auch eine Ausgabe in Form einer Webseite erfolgt, oder? Nur damit ich das richtig verstehe...

[Wiedmann]

Der PC hängt an einem Netzwerk, welches mittels eines Routers mit dem Internet verbunden ist.

Solange du in deinem Router (es ist doch ein NAT-Router?) keine Ports zu deinem PC weiterleitest, kann keiner aus dem Internet auf deinen PC zugreifen.

Zum Thema Webanwendung: ... eine Ausgabe in Form einer Webseite erfolgt

Genau.

[oBdA]

Solange du in deinem Router (es ist doch ein NAT-Router?) keine Ports zu deinem PC weiterleitest, kann keiner aus dem Internet auf deinen PC zugreifen.

Als Router nutze ich den Netgear WGT 624. In der verlinkten Beschreibung steht, dass eine SPI-Firewall mit NAT integriert ist.

Werde nachher mal in die Konfiguration des Routers schauen. Dort muss ich dann einfach alle Ports sperren und dann bin ich auf der sicheren Seite? Wie sieht es denn mit der Apache-Konfiguration usw aus? Ist dort keine Änderung nötig?
Auf dem PC auf dem das Projekt laufen soll läuft zusätzlich G-DATA Internet Security 2007. Muss ich dort irgendwelche Einstellungen vornehmen damit das WAMP-System problemlos laufen kann?

Nochmals vielen Dank für die tolle Unterstützung!

[Wiedmann]

Dort muss ich dann einfach alle Ports sperren

Du darfst du selbst keine Weiterleitungen/port-forwardings/virtuelle Server einrichten (wie immer sich das bei deinem Router nennt).

Solche Weiterleitungen (oder eine aktivierte DMZ) gibt es dort nur, wenn du sie selbst einrichtet hast. (separat Ports sperren must du dort nicht).

[oBdA]

Habe mich vor paar Tagen mit dem Thema nochmal intensiv auseinandergesetzt und fleißig bei Wikipedia nachgelesen
Anschließend habe ich im Router sichergestellt, dass kein Port Forwarding/Port Triggering aktiviert ist. Allerdings kamen dabei noch folgende Fragen auf:
1. Sehe ich es richtig, dass durch die oben genannte Maßnahme niemand aus dem Internet Zugriff auf das System hat, allerdings vom Netzwerk aus ein Zugriff solange möglich ist, bis ich die häufig in den FAQs genannten Sicherheitslücken (MySQL root hat kein PW, PhpMyAdmin ist nicht kennwortgeschützt, usw...) schließe? Ist der Zugriff vom Netzwerk einfach durch Eingabe der IP des PCs möglich? Gibt es auch andere Möglichkeiten, da der PC derzeit seine IP automatisch bezieht (bspw. durch Eingabe von localhost)?
2. Wenn ich es richtig verstanden habe geht der Internet Browser beim Zugriff auf localhost davon aus, dass dieser auf Port 80 liegt (da ansonsten ja localhost:Portnummer eingegeben werden müsste). Was genau bringt es für Vorteile die Portnummer zu ändern? Ist dies nur bei Überschneidungen mit bspw anderen Servern sinnvoll? Da ich wirklich neu auf diesem Gebiet bin frage ich mich auch, ob der Port 80 nicht eine Sicherheitslücke darstellt, da auf diesem Port doch das Internet abgewickelt wird und somit doch auch ein Zugriff von außerhalb trotz Sperrung von Port Forwarding/Port Triggering möglich sein müsste. Könnte ich eine Port Änderung einfach in der Konfiguration des Apache vornehmen? Ich denke vor allem deshalb darüber nach, da das Internet Sicherheitspaket auf diesem PC die Webinhalte auf Port 80 prüft und dies ja wirklich unnötig ist.

Ich weiß es sind viele Fragen... Aber mich interessiert das Thema zunehmend.

Viele Grüße

[KingCrunch]

Sehe ich es richtig, dass durch die oben genannte Maßnahme niemand aus dem Internet Zugriff auf das System hat, allerdings vom Netzwerk aus ein Zugriff solange möglich ist, bis ich die häufig in den FAQs genannten Sicherheitslücken (MySQL root hat kein PW, PhpMyAdmin ist nicht kennwortgeschützt, usw...) schließe?

Der Zugriff aus Internet ist dann nicht mehr möglich, weil der Router schonma garnich weiß, wohin er die Anfrage schicken soll. Der Zugriff im Netzwerk selbst bleibt allerdings erhalten. Mit den Tipps aus den FAQs schließt du allerdings die gängisten Sicherheitslücken

Ist der Zugriff vom Netzwerk einfach durch Eingabe der IP des PCs möglich? Gibt es auch andere Möglichkeiten, da der PC derzeit seine IP automatisch bezieht (bspw. durch Eingabe von localhost)?

Dann solltest du statische IPs einrichten, weil du sonst nach jedem Neustart möglicherweise eine neue IP bekommst und dann alle erstmal mitteilen musst Hast du erstmal eine statische IP, dann kannst du in den HOSTS-Datei (unter Windows, für Linux keine Ahnung) bei den anderen Rechnern einen netten Namen für die IP vergeben. localhost bezeichnet dabei immer den Rechner selbst (loopback) und sollte tunlichst nich angerührt werden

Da ich wirklich neu auf diesem Gebiet bin frage ich mich auch, ob der Port 80 nicht eine Sicherheitslücke darstellt, da auf diesem Port doch das Internet abgewickelt wird und somit doch auch ein Zugriff von außerhalb trotz Sperrung von Port Forwarding/Port Triggering möglich sein müsste.

Der Router unterscheidet zwischen ausgehende und eingehende Verbindungen. Bei eingehenden Verbindungen weiß der Router ja nicht mal, wohin er die Anfrage schicken soll, wenn kein Port-Forward oder DMZ angegeben ist. Keine Ahnung, ob der Router die Anfrage dann ignoriert, oder einen Fehler zurück schickt, aber das ist zumindest im Sinne deiner Frage kein Problem.

Könnte ich eine Port Änderung einfach in der Konfiguration des Apache vornehmen?

Ja, in deiner Konfiguration müsste irgendwo Listen [[adresse]:[port]][i], also gemeint ist eine Zeile in einer von den Formen

Code: Select all

Listen 80
Listen localhost:80
Listen localhost

Sollte die Zeile nich da sein, wird implizit [i]localhost:80 angenommen. Naja, lange Rede, kurzer Sinn: Du kannst den Port da ändern bzw angeben Aber, wie oben schon angedeutet, macht es sooo häufig nicht Sinn.

Ich denke vor allem deshalb darüber nach, da das Internet Sicherheitspaket auf diesem PC die Webinhalte auf Port 80 prüft und dies ja wirklich unnötig ist.

Ich nehme an, dass dein Internetsicherheitspaket in die Richtung kontrollierbar sein sollte, so dass du die Prüfung auch ab-, um- oder anschalten kannst, je nachdem, was du willst. Das ist mir nämlich nicht ganz klar