In der Firewall gehts mit den custom-scripts! -----Ursprüngliche Nachricht----- Von: Oliver Meißner-Knippschild [mailto:lists.o@la-familia-grande.de] Gesendet: Freitag, 17. November 2006 14:18 An: suse-linux@suse.com Betreff: Re: Portweiterleitung SUSE10.1 Robert Pleniger wrote on Fri, 17 Nov 2006 13:46:19 +0100:
Hallo Leute
Hallo Robert,
Verzeihung da ist vorhin was daneben gegangen.
Kein Problem, kann ja mal passieren...
Ich habe Hier einen SUSE10.1 unter Anderen als Router im Einsatz eth0: 192.168.5.205/24 eth1: 83.64.81.146/29
In meinem LAN steht ein MySQL-Server auf 192.168.5.206, den möchte ich von extern erreichen. In der /etc/sysconfig/SuSEfirewall2 ist eigetragen (mittels YAST): FW_FORWARD_MASQ="0/0,192.168.5.206,tcp,3306,3306,83.64.81.145"
Trotzdem erhalte ich von extern auf ein 'TELNET 83.64.81.145 3306' keine Antwort. iptables -t nat -L POSTROUTING -nv ergibt: Chain POSTROUTING (policy ACCEPT 19745 packets, 1435K bytes) pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- * eth1 192.168.5.0/24 0.0.0.0/0 0 0 MASQUERADE tcp -- * eth1 0.0.0.0/0 192.168.5.206 tcp dpt:3306
Ich denke das out:eth1 das Problem ist.
Kann mir jemand helfen, was mach ich falsch?
Also wie das die SuSEfirewall2 löst kann ich Dir auch nicht so genau
sagen, ich habe mir meine Firewall-Regeln selbst zusammengebaut.
Portforwarding mache in aller Regel so (hier am Bsp von RDP)
iptables -t nat -A PREROUTING -i $if_dsl -p tcp --dport 3398 \
-j DNAT --to 192.168.80.15:3389
Ich denke in der PRErouting sind die Regeln wesentlich besser
aufgehoben, da hier ja das Ziel AFAIR noch verbogen werden kann (DNAT).
Ein "iptables -t nat -L PREROUTING -nv" ergibt dann folgendes:
[gekürzt]
target prot opt in out source destination
DNAT tcp -- dsl0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:{ip}{port}
Angepasst auf Deine Bedürfnisse sollte es dann so aussehen:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3306 \
-j DNAT --to 192.168.5.206:3306
Hast Du denn alle anderen Fehlerquellen beseitigt:
Was sagt denn ein 'telnet 192.168.5.206 3306' vom ROUTER aus? Ist der
Port auch auf 192.168.5.206 offen und ansprechbar? Lauscht MySQL
wirklich auf diesem Port?
Vielleicht hilft's ja weiter...
Mit freundlichen Grüßen / Best regards,
Oliver Meißner-Knippschild