Hallo, habe hier nen SuSe-Rechner als Router laufen. Als FIrewall kommt iptables zum Einsatz. Ich habe jetzt hinter dem Router einen Webserver installiert. Ich brauch also ein Portforwarding für den Port 80. Ich sehe gerade den Wald vor Bäumen nicht. Der Router funktioniert einwandfreio, also NAT funktioniert, Routing klappt auch. Nur den Port 80 Kriege ich nicht hin. Ich habe ppp0 als DSL-Interface, an eth0 hängt das interne Netz. Eth0 hat die 192.168.128.254, der Rechner auf den das ganze soll hat die 192.168.128.2. Habe nun folgende Regeln hinzugefügt: iptables -A INPUT -j ACCEPT -i ppp0 -p udp --dest 192.168.128.2 --dport 80 iptables -A OUTPUT -j ACCEPT -o ppp0 -p udp --dport 80 iptables -A OUTPUT -j ACCEPT -o eth0 -p udp --dport 80 iptables -A FORWARD -j ACCEPT -i eth0 -o ppp0 -p udp -s 192.168.128.2 --dport 80 iptables -A FORWARD -j ACCEPT -i ppp0 -o eth0 -p udp -d 192.168.128.2 --dport 80 Mit tcpdump auf ppp0 sehe ich die Pakete auf Port 80 ankommen, auf eth0 sind diese dann schon nicht mehr da. Die Firewall blockt also. Kann mir mal jemand sagen ob das, was ich da gerade verbreche, korrekt ist? Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 14. Juli 2008 schrieb Daniel Spannbauer:
Ich habe jetzt hinter dem Router einen Webserver installiert. Ich brauch also ein Portforwarding für den Port 80.
Soweit ich weiß, geht das mit iptables nicht. Für portforwarding ginge rinetd Gruß -- - Alexandra Widerstand ist zwecklos! Sie werden assembliert...? Absorbiert? Abserviert? Verdammt ... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Alexandra Michelle [14.07.2008]:
Am Montag, 14. Juli 2008 schrieb Daniel Spannbauer:
Ich habe jetzt hinter dem Router einen Webserver installiert. Ich brauch also ein Portforwarding für den Port 80.
Soweit ich weiß, geht das mit iptables nicht. Für portforwarding ginge rinetd
Natürlich geht das mit IPTABLES. $IPTAB -t nat -A PREROUTING -i eth0 -d 192.168.1.150 -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80 $IPTAB -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i eth0 -o eth0 -d 192.168.1.2 -p tcp --dport 80 -j ACCEPT Bye Michael -- Ein ungl�cklicher Mann: ein Problem, das Frauen keine Ruhe l�sst. -- David Niven _____________________________________________________________________________ http://macbyte.info/ Mobile Loadavg.: 0.52 0.33 0.31 http://dattuxi.de/ Registered Linux User #228306 Linux 2.6.24-19 x86_64 ICQ #151172379 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 14. Juli 2008 schrieb Michael Raab:
* Alexandra Michelle [14.07.2008]:
Am Montag, 14. Juli 2008 schrieb Daniel Spannbauer:
Ich habe jetzt hinter dem Router einen Webserver installiert. Ich brauch also ein Portforwarding für den Port 80.
Soweit ich weiß, geht das mit iptables nicht. Für portforwarding ginge rinetd
Natürlich geht das mit IPTABLES.
$IPTAB -t nat -A PREROUTING -i eth0 -d 192.168.1.150 -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80 $IPTAB -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i eth0 -o eth0 -d 192.168.1.2 -p tcp --dport 80 -j ACCEPT
Jup, stimmt. Ich bin gerade auch gegen einen Baum gelaufen ;-) Gruß -- - Alexandra Widerstand ist zwecklos! Sie werden assembliert...? Absorbiert? Abserviert? Verdammt ... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Natürlich geht das mit IPTABLES.
$IPTAB -t nat -A PREROUTING -i eth0 -d 192.168.1.150 -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80 $IPTAB -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i eth0 -o eth0 -d 192.168.1.2 -p tcp --dport 80 -j ACCEPT
Bye Michael
So, habs so probiert.....ich seh die Pakete auf ppp0 ankommen, auf eth0 sehe ich sie auch. Dann will der Server die Pakete beantworten, das sehe ich auf eth0, aber auf ppp0 kommt nichts an. Scheint so als würde er die Pakete von Port80 nicht nach außen lassen. Bis jetzt war Port80 zu da dieser Anschluss nicht zum Surfen genutzt wurde. Gruß Daniel -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Daniel Spannbauer schrieb:
Natürlich geht das mit IPTABLES.
$IPTAB -t nat -A PREROUTING -i eth0 -d 192.168.1.150 -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80 $IPTAB -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i eth0 -o eth0 -d 192.168.1.2 -p tcp --dport 80 -j ACCEPT
Bye Michael
So, habs so probiert.....ich seh die Pakete auf ppp0 ankommen, auf eth0 sehe ich sie auch. Dann will der Server die Pakete beantworten, das sehe ich auf eth0, aber auf ppp0 kommt nichts an. Scheint so als würde er die Pakete von Port80 nicht nach außen lassen. Bis jetzt war Port80 zu da dieser Anschluss nicht zum Surfen genutzt wurde.
blöde Frage ... wenn ppp0 als Input , wieso steht dann oben -i eth0 ???
Gruß
Daniel
bin zwar nicht der der grosse Firewallauskenner.. aber komisch liest sich das schon... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Montag, 14. Juli 2008 um 13:03 (+0200) schrieb Daniel Spannbauer:
Ich habe jetzt hinter dem Router einen Webserver installiert. Ich brauch also ein Portforwarding für den Port 80.
Ich sehe gerade den Wald vor Bäumen nicht. Der Router funktioniert einwandfreio, also NAT funktioniert, Routing klappt auch. Nur den Port 80 Kriege ich nicht hin.
Ich habe ppp0 als DSL-Interface, an eth0 hängt das interne Netz.
Eth0 hat die 192.168.128.254, der Rechner auf den das ganze soll hat die 192.168.128.2. Habe nun folgende Regeln hinzugefügt:
iptables -A INPUT -j ACCEPT -i ppp0 -p udp --dest 192.168.128.2 --dport 80 iptables -A OUTPUT -j ACCEPT -o ppp0 -p udp --dport 80 iptables -A OUTPUT -j ACCEPT -o eth0 -p udp --dport 80 iptables -A FORWARD -j ACCEPT -i eth0 -o ppp0 -p udp -s 192.168.128.2 --dport 80 iptables -A FORWARD -j ACCEPT -i ppp0 -o eth0 -p udp -d 192.168.128.2 --dport 80
Mit tcpdump auf ppp0 sehe ich die Pakete auf Port 80 ankommen, auf eth0 sind diese dann schon nicht mehr da. Die Firewall blockt also.
Kann mir mal jemand sagen ob das, was ich da gerade verbreche, korrekt ist?
Kurz gesagt: Nein. Voraussetzung: Der Webserver kann "von innen" das Internet erreichen, also Masquerading funktioniert. Dann macht 'iptables -t nat -I PREROUTING 1 -p tcp -i ppp0 --dport 80 -j DNAT --to-destination 192.168.128.2' das eigentliche Portforwarding von Port 80 des Routers auf Port 80 des Webservers und 'iptables -I FORWARD 1 -p tcp -i ppp0 -d 192.168.128.2 --dport 80 -j ACCEPT' läßt die geforwardeten Pakete durch den Paketfilter. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Alexandra Michelle -
Andreas Koenecke -
Daniel Spannbauer -
Fred Ockert -
Michael Raab