LAMP-сервер не виден из внешней сети (Debian 8)

Сейчас вот вычитал, что надо проброс портов делать? Действительно ли так?

Да, нужно пробросить порт на роутере.

Да. В вебморде нужно входящий порт 80 перенаправить на айпи твоего компьютера с сайтиком на порт 80.

Сервер на чём работает?

Listen 0.0.0.0:80

Listen 80
Работает.

/etc/apache2/sites-available/namesite.conf
Там есть строчка. <VirtualHost *:80>

TP-LINK

1) 192.168.1.1 или как там.
IP сервера должен быть статическим.
Иначе:
DHCP -> резервирования адресов. Вбиваем MAC сервера, желаемый IP. Ребут роутера.

2) Переадресация -> Добавить новую запись -> Пишем IP сервера. 80 порт.

3) Ребут роутера.

И да! Чтобы всё это работало, нужно получить «белый» IP у провайдера. RTFM про «белый» и «серый» IP. Обычно провайдер держит клиента за NAT'ом. Как никак, а безопаснее для всех) Проверить можно тут. Сравни тот, который покажет браузер с IP, который покажет роутер. Если совпал, значит «белый».

NAT'ом. Как никак, а безопаснее для всех

nat никогда не имел отношения к безопасности

Огромное спасибо всем ответившим! С горем пополам, но разобрался) Проброс портов в веб-морде действительно помог и решил проблему полностью, но в процессе ее я столкнулся с некоторыми непонятками. Буду признателен, если кто-нибудь разъяснить почему так.

И так. Три разных источника у меня показывают три разных айпи. Откуда они?

1. Первый айпи высвечивается при ifconfig eth0 в виде inet addr. Перейдя по этому айпи я могу попасть на запущенный сайтик, но только из локальной сети, из внешней туда хода почему-то нет. Это адрес я прописал /etc/apache2/sites-available/site.ru.conf -> «VirtualHost ТУТ:80» и похоже правильно сделал, раз все работает.

2. Второй IP адрес высвечивается как мой, когда я его смотрю через 2ip.ru и перейдя по этому айпи я опять же могу попасть на свой сайтик, как из внешней сети так и из локальной.

3. Третий айпишник у меня высвечивается в веб-морде роутера в через который интернет и идет. Собственно, это купленный у провайдера статичный адрес, только через него на сайт почему то никак не попасть не из внешней сети, не из внутренней.

Голова кругом и ничего непонятно. Куда мне направлять домен? Откуда все эти айпишники и почему их аж три штуки? Почему по статичному адресу сайт не доступен? Заранее спасибо, если кто сможет ответить.

nat никогда не имел отношения к безопасности

Нет прямого доступа к компу. Нет плюса к безопасности? Для прохода на твой ПК нужно поиметь дела с сетью провайдера.

ifconfig eth0

Локальный IP. Выдан роутером.

Второй IP адрес высвечивается как мой, когда я его смотрю через 2ip.ru

IP маршрутизатора провайдера. Это IPшник провайдера. И вероятнее он ещё у многих, кто подключен к твоему провайдеру.

Третий айпишник у меня высвечивается в веб-морде роутера в через который интернет и идет.

Тебе его дал провайдер. Это твой IP в пределах локалки провайдера.

Голова кругом и ничего непонятно. Куда мне направлять домен?

Ты за NATом! Ты спрятан в локалке провайдера. Т.е. у тебя «серый IP», т.е. извне, из интернета, видят не тебя, а маршрутизатор провайдера. Ровно также, как при белом IP мы упираемся в твой роутер, а не в твой комп. Но, TP-Link по дефолту откроет морду только юзеру из локалки) Так что не переживаем))) Читаем мануал про маршрутизацию... Хотя... Будет ещё большая каша в голове! Это нормально;-)
1) У dom.ru, к примеру, есть в личном кабинете кнопочка «отключить NAT». Потом ребутишь роутер и сверяешь ip. Но, вероятнее всего, будет динамический.
2) Идёшь к провайдеру и просишь белую статику. Услуга стоит ~500-1000р. Потом ~20р. в месяц. Зато открываешь порты на роутере и полный доступ к ПК! Очень удобно с помощью Wake On Lan врубить комп, по SFTP слить/залить инфу, а потом по SSH его вырубить;-) Если несколько компов, можно на роутере перетасовать порты.

Нет прямого доступа к компу. Нет плюса к безопасности?

Есть прямой доступ, минимум из сети прова, ботнету пофиг.
Еще раз повторю прописную истину, nat к безопасности по определению не может иметь отношения. Извечная ошибка - путать nat и fw.

Извечная ошибка - путать nat и fw.

А кто путает то?;-) Подразумевается, что провайдер из личной безопасности установил FW. Соответственно локалка провайдера уже защищена. Итог уже написал выше.
К примеру. Хакер из Ростова не может нас пингануть напрямую, если мы в Самаре. Соответственно нет ip - нет проблем! Засветились в базе? Мы засветили провайдера. А на этом ip (не считая факта, что нам его поменяют не позже чем через сутки) кроме нас, к примеру, ещё сотня юзеров плюс файервол провайдера. Да! Динамический ip никак не относится к NAT! NAT - это всего лишь трансляция пакета внутри сети путём подмены айпишника пакета.

Ботнет! А вирусы вы тоже файерволом стопорите?

PS Отсюда, дополнительную скрытность в серой массе нельзя отнести к безопасности? Как было выше сказано, нет реального ip - нет проблем с ip. Я вкурсе, что NAT из раздела маршрутизации.

PPS Локалка провайдера... Локалка всегда стояла отдельной темой.

Подразумевается, что провайдер из личной безопасности установил FW.

Что за бред. Для его серваков да, но не для юзверей же.

К примеру. Хакер из Ростова не может нас пингануть напрямую, если мы в Самаре.

Хикир из Ростова, поселил вирь вашему соседу, ваш сосед поселил ботнет вам, Хакир может зайти к вам из Саратова.
Сколько же можно «в голову вбивать» nat != fw и никогда им не был. Вы поди из тех кто и fe80:: без fw на внешнем интерфейсе держите.

Кажется разобрался. Всем спасибо. Насчет айпи, провайдер сказал что он у нас белый, статичный, так как услуга уже проплачена. Продиктовал и он совпал с тем, что показывает 2ip.ru - буду туда направлять домен.

Еще раз, всем спасибо. Знаний чуть-чуть, но прибавилось)

P.S. Насчет Wake-on-Lan, погуглил, не знал что так вообще можно. Офигеть в общем. Максимум думал что компы можно на таймер ставить, что бы включались сами в опред.время, а тут...

Может кто-нибудь дать еще парочку рекомендаций по безопасности?

Как я понял, мне сейчас нужно будет: 1. Закрыть все неиспользуемые порты 2. Установить и настроить ежедневное сканирование в chkrootkit и rkhunter + добавить какой-нибудь антивирус, пусть тот же Eset NOD32 3. Настроить ежедневное резервное копирование

Мог я еще что-то пропустить? Кстати, все файлы в /var/www принадлежат обычному пользователю теперь. Я правильно сделал?

Хакер из Ростова не сможет поиметь юзера из Самары, если у последнего наружу бажный сервис торчит. Тупо подключиться не сможет к нему напрямую без всяких реверсконнектов. Такая вот «безопасность». upnp и прочие ништяки пров в здравом уме не включает обычно.

Хотя и в локалке мамкиных хакиров хватает без всяких ростовчан.

поселил вирь вашему соседу

Так и пентагон поиметь можно. Вопрос только времени. :)

1. Закрыть все неиспользуемые порты

Я б сказал, поставить файервол, в котором открыть только нужные порты. Если машина отдельная, не держать левых сервисов. ssh перебрось на другой порт.

2. Установить и настроить ежедневное сканирование в chkrootkit и rkhunter + добавить какой-нибудь антивирус, пусть тот же Eset NOD32

Насчёт ежедневного резервирования/сканирования можешь глянуть cron/crontab и с помощью его запускать нужные службы. А что проверять на вирусы? Если всё качается из оффреп, то не думаю о его необходимости. Загруженные файлы на сервер? Отбирай у них -x (права на исполнение), они уже станут обычными файлами.

3. Настроить ежедневное резервное копирование

Будет бэкап - остальное не особо и важно! Не забудь забэкапить /etc/*. Там обычно самое вкусное для восстановления системы с нуля.

Мог я еще что-то пропустить?

В процессе узнаешь;-)
На сколько важна стабильная работа сайта? Какая нагрузка на сервер? Из личного опыта. Сервер падал из-за проблем с хардом. Спас бэкап. Не плохо заиметь RAID-массив. Хотя бы программный. Биос настроен на автоматическое включенние компа при подаче питания. Так что проблема с пропаданием света в принципе отпала.
Советую UPS, который умеет корректно выключать комп.
Также почитай про DDOS и прочие атаки. Посмотри на NginX.

все файлы в /var/www принадлежат обычному пользователю теперь.

ставлю права 750. где группа www-data, а юзер отдельный, из под которого редактирую файлы. Разумеется юзер в системе особо ничего и не умеет, кроме как шарить по файлам;-) По ssh через него в систему и захожу. Минус. Через вебморду нет возможности загрузить файл на сервер, т.е. некоторым директориям необходимо дать права на запись для юзера www-data.

Для его серваков да, но не для юзверей же.

А какого хрена тогда все порты закрыты, если сидеть через NAT прова?

Хикир из Ростова, поселил вирь вашему соседу, ваш сосед поселил ботнет вам, Хакир может зайти к вам из Саратова.

Сколько же можно «в голову вбивать» nat != fw и никогда им не был.
Где я сказал, что не нужен файервол? Я уже написал, что предпочитаю его ставить на всё, куда только ставится. Ещё и порты люблю перетасовать.
Сколько раз писать, что nat != fw? NAT - механизм, суть которого состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Т.е. механизм, позволяющий скрыть реальный IP машины. Напрямую, по IP, из глобального инета, хакИр уже не взломает систему.
Вопрос ботнета. Где сказано, что NAT == 100% защита? NAT == механизм, заменяющий реальный IP на пакетах, которые выходят из локалки! Где сказано, что не нужно ставить и настраивать файервол? И тот откроет порт, чтобы переслать трафик служебной программы. Того же скайпа или браузера! Где я говорил, что если есть NAT, не нужно ставить антивирус? Багованное дополнение в браузере уже пошлёт на 3 буква все выши старания в настройке файервола! Тогда уж надо прокси сервер поднимать с полным анализов всех пакетов на всё и вся!
Отключите системник от сети! Выдерните LAN-кабель! Придёт сосед, сдёрнет хард, и утопала ваша инфа. Раз уж на то пошло;-)

Хакер из Ростова не сможет поиметь юзера из Самары

Целенаправленно - тяжеловато, случайно - да. Возможно вы меня не поняли. Давайте рассмотрим сферический (хотя он как раз не сферический) в вакууме вариант, пров с pptp/l2tp, на eth у нас локалка, на ppp пров может выдать как реальный динамический так и серый адрес (с рандомной вероятностью). Ваш «сосед по провайдеру» получивший на время реальный ip ловит ботнет. Т.е. один бот уже в локалке прова (вспоминаем про eth) и далее благополучно распространяемся на всех до кого сможем дотянуться.
Таже фигня только в начале заменяем получение по real ip, на самостоятельное скачивание и установку тем же «соседом».
Надеюсь теперь понятно пояснил.

т.е. один бот уже в локалке прова (вспоминаем про eth) и далее благополучно распространяемся на всех до кого сможем дотянуться.

Опять всё скатилось к локалке! Локалка она и в Африке локалка! С локалки у большинства и ОС - решето! С кучей багов и фич, херивших работу антивируса и файервола. Речь не про локалку. Выше пример, как поймать проблемы даже с локалхоста! Всего то нужно подключить интернет.

Ну значит, мы друг друга поняли :)

Я говорю именно про целенаправленный взлом компьютера через прямое соединение. Про остальное знаю по личному опыту. Черви по сети табунами ходили. Откуда только набирали столько?

Спасибо большое за советы) И извини, что долго не отвечал, работа, замотался сильно. Насчет нагрузки на сайт, рассчитываем в начале на посещений 30 в день с дальнейшим ростом. Уж это то комп по идее потянет легко.