Hallo Ekkard. * Mittwoch, 12. März 2008 um 09:09 (+0100) schrieb Ekkard Gerlach:
* Andreas Koenecke schrieb:
* Sonntag, 09. März 2008 um 16:49 (+0100) schrieb Ekkard Gerlach:
PC -> internet -> Firewall:3333 -> meinPC -> per ISDN auf fremdPC:5900
Angenommen die IPs sind 192.168.40.1 ("meinPC") und 192.168.40.2 ("fremdPC"), dann geht z.B. einfaches NAT: ... wäre klasse ...
Auf "firewall":
'iptables -t nat -A PREROUTING --dport 3333 -j DNAT --to-destination 192.168.40.2:5900'
-p tcp habe ich mal eingefügt, sonst Fehlermeldung "unknown .. dport option"
Ja, das vergesse ich immmer wieder...
Muss es nicht --sport 3333 heissen? und zusätzlich --dport 5900 dastehen? also: iptables -A FORWARD -d 192.168.10.220 -p tcp --sport 3333 --dport 5900 -j ACCEPT
Nein, der Source-Port wird bei der Destination-NAT nicht umgeschrieben, wird vom Client generiert und ist mehr oder weniger beliebig, ist zum Matchen also nicht geeignet.
'iptables -A FORWARD -d 192.168.40.2 --dport 5900 -j ACCEPT' auch hier -p tcp. Muss hier nicht auch --sport 3333 dazu? also: iptables -A PREROUTING -t nat -p tcp --sport 3333 --dport 5900 -j DNAT --to-destination 192.168.10.220:5900
Du hast jetzt die Bezüge FORWARD-/PREROUTING-Chain vertauscht, so dass sich das etwas verwirrend liest. Deshalb nochmal zusammenfassend: 'iptables -t nat -A PREROUTING -p tcp --dport 3333 -j DNAT --to-destination 192.168.10.220:5900' Hier kannst du ebenfalls nicht auf den Source-Port matchen, da er i.A. nicht bekannt ist. 'iptables -A FORWARD -p tcp -d 192.168.10.220 --dport 5900 -j ACCEPT' s.o.
so gemacht: iptables -L auf der Firewall: ACCEPT tcp -- anywhere 192.168.10.220 tcp spt:3333 dpt:5900
Diese Regel wird -- wenn überhaupt -- wegen des Source-Ports so gut wie nie passen.
Port 333 auf "firewall" ist offen: von einem PC im Web aus: telnet myfirewall.dyndns.org 3333 -> trying ... -> connected to ....-> exit
D.h. es funktioniert? Dann muss es noch eine andere Regel in der FORWARD-Chain geben, die die Pakete durchlässt (oder Policy ACCEPT, aber dann sollte der Rechner nicht "firewall" heißen ;-))
aber ein vnc-Zugriff mit krdc myfirewall.dyndns.org 3333 meldet, dass der Zielrechner keine Verb. mehr akzeptiert (es gibt keine andere (zweite!) Verb.!)
Ich stelle gerade fest, dass von "firewall" aus kein ping auf 192.168.10.220 möglich ist obwohl cat /proc/sys/net/ipv4/ip_forward die 1 ausgibt und das routing auf myPC stimmt und iptables -L auf myPc leer ist (alles frei!).
Gibt das 'ping' eine Fehlermeldung aus oder wartet es einfach auf das Antwort-Paket? (Die Routing-Tabellen passen IMO.)
Weiss der Geier warum! Es ist derzeit wohl noch ein Routing-Problem, leider habe ich heute und morgen keine Zeit dafür .... ich melde mich wieder.
Eventuell stimmt die Route auf "fremdPC" nicht. Entweder muss die Default-Route wieder zurück auf "meinPC" zeigen (das macht der '(i)pppd' "normalerweise") oder er braucht eine Route für "firewall"/"firewall"-Netz mit Gateway "meinPC". Gruß Andreas -- XMMS spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org