Zu bloede fuer Port Forwarding

[Frank Matthieß]

Hauke Joachim Zuehl [2004-12-15 13:40 CET]:
> Am Mit, 2004-12-15 um 01.27 schrieb Jan 'Red Bully' Seiffert:
> > Hauke Joachim Zuehl schrieb:
> > > Hi :)
> > > 
> > Ho
> > 
> 
> Ha :)
> 
> > > Ich gruebel^Wgoogle schon den ganzen Abend rum, um Ports weiterzuleiten.
> > > 
> > Eigentlich nicht schwer
> > 
> > > "iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 8100 -j DNAT --to 192.168.1.19:80"
> > Hmmmm, muss das da hinten nicht "--to-destination" heissen???
> > 
> 
> Sieht so aus, als ob --to und --to-destination das selbe bedeuten...
> 
> > Also ich habe zum beispiel diese Regel, damit gewisse IRC-Server mit
> > meinem IRC-Client einen Ident machen koennen (security by obscurity):
> > 
> > > iptables -t nat -A PREROUTING -i ppp+ -p tcp -m tcp --dport 113 -j DNAT --to-destination 192.168.0.2:5113
> > 
> > Also zu lesen: lieber Router, wenn was ueber irgend ein ppp-device auf
> > Port 113 tcp reinkommt, reich es weiter an 192.168.0.2 auf Port 5113...
> > 
> 
> So ungefaehr wollte ich das auch haben :)
> 
> > Ach, da faellt mir siedent heiss ein, hasst du denn die allg.
> > Input-Chain auf accept stehen?
> 
> Yupp, hab ich.
> 
> >  und Ueberhaupt und sowieso... nich dass
> > das Packet schon vorher haengen bleibt.
> > Hatt deine iptables-version ein "iptables-save" anzubieten? Dann zeig
> > uns doch mal den Output, falls es immer noch nicht geht.
> > 
> 
> Siehe http://athene.dnsalias.org/meine-regeln.txt
> Wenn ich mir das so ansehe, sollte ich das Paket ipmasq mal runterwerfen
> und die Regeln haendisch bauen.


Ich sehe keine Regel, die von 

FORWARD -i ppp0 -o eth1 -p tcp --dport 80 -j ACCEPT heißt.

Mit dieser regel wird das Paket, welches von der PREROUTING Chain nach
192.168.1.19 um geleitet wird auch akzeptiert.

Beo Portforwarding sind immer zwei Firewallregelb im Spiel:

1. Die DNAT Regel um das Paket zum einem anderen Host unzubiegen
2. die FORWARD Regel, die diese Oaket auch durchläßt.


> 
> Folgende Interfaces habe ich:
> eth0: Interface fuer DSL (1.1.1.1)

Wozu hast Du hier eine IP Adresse, die noch nicht mal aus dem privaten
Adressraum stammt? Für DSL via PPPoE benötigts Du _keine_ IP Adresse auf
dem Interface.

> eth1: Interface zum LAN (192.168.1.13)
> ppp0: :))

Das ist sicher Dein Internetinterface, oder?

Frank.
-- 
Frank Matthieß

"Rudolf Scharping hat den Bart ab. Und er soll auf die Frage 'Wie war's?'
 geantwortet haben: 'Manches hat bitter weh getan." -- Harald Schmidt
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20041215/83176719/attachment.sig>