Firewall-Einstellungen für Port-Forwarding. Wie macht man das?
Ein freundliches Hallo zusammen. Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde. Ich habe eben im internen Netz eine Applikation laufen, die von aussen (Internet) erreichbar sein muss. Also, wenn mir da jemand unter die Arme greifen könnte... Mit freundlichem Gruss Thomas Lübbig thomas.luebbig@yup.ch Meine FW Einstellungen: FW_DEV_WORLD=eth0 FW_DEV_INT=eth1 FW_DEV_DMZ="" FW_ROUTE=yes FW_MASQUERADE=yes FW_MASQ_NETS="192.168.1.0/24 192.168.1.2" FW_MASQ_DEV="$FW_DEV_WORLD" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_GLOBAL_SERVICES="yes" FW_SERVICES_EXTERNAL_TCP="www smtp ftp domain 443" FW_SERVICES_EXTERNAL_UDP="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_INTERNAL_TCP="" FW_SERVICES_INTERNAL_UDP="" FW_TRUSTED_NETS="" FW_SERVICES_TRUSTED_TCP="" FW_SERVICES_TRUSTED_UDP="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_DNS="no" FW_SERVICE_DHCLIENT="no" FW_SERVICE_DHCPD="no" FW_SERVICE_SAMBA="no" FW_FORWARD_TCP="" FW_FORWARD_UDP="" FW_FORWARD_MASQ_TCP="" FW_FORWARD_MASQ_UDP="" FW_REDIRECT_TCP="" FW_REDIRECT_UDP="" FW_LOG_DENY_CRIT="yes" FW_LOG_DENY_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_KERNEL_SECURITY="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_MASQ_MODULES="autofw cuseeme ftp irc mfw portfw quake raudio user vdolive"
Thomas Luebbig schrieb:
Ein freundliches Hallo zusammen.
Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde.
Das geht nicht, da die Rechner im internen Netzwerk keine weltweit gültige IP-Adresse haben und somit von außen, egal an welchem Port nicht ansprechbar sind. Eventuell könnte es mit einem Werkzeug (da kenne ich aber keins) funktioneren, das auf Deinem Server an Port 5003 lauscht und Anfragen an einen ganz bestimmten Rechner in Deinem internen Netzwerk weiterleitet. Dann wäre es aber vielleicht einfacher, die Applikation direkt auf dem Server laufen zu lassen. Ulf
hallo, hm, schonmal etwas mit ip-konfigurationen zu tun gehabt ??? aber es gibt es leichte lösung für dieses problem: http://www.dyndns.org dort anmelden und deinen rechner in der ip-up des entsprechenden interfaces (das die verbindung aufbaut) den dyndnsorg-client eintragen und schon kannst du den dann über bsp: testrechner.serveftp.org erreichen ... dann kannst du den in deiner iptables eintragen und sollte gehen ... es gibt noch eine möglichkeit: das paket rinetd ... leitet anfragen an einen anderen weiter (geht aber nur mit einfachen sockets) grüße stephan On Thursday 21 March 2002 13:02, Ulf Wagner wrote:
Thomas Luebbig schrieb:
Ein freundliches Hallo zusammen.
Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde.
Das geht nicht, da die Rechner im internen Netzwerk keine weltweit gültige IP-Adresse haben und somit von außen, egal an welchem Port nicht ansprechbar sind. Eventuell könnte es mit einem Werkzeug (da kenne ich aber keins) funktioneren, das auf Deinem Server an Port 5003 lauscht und Anfragen an einen ganz bestimmten Rechner in Deinem internen Netzwerk weiterleitet. Dann wäre es aber vielleicht einfacher, die Applikation direkt auf dem Server laufen zu lassen.
Ulf
Hi On Thursday 21 March 2002 13:02, Ulf Wagner wrote:
Thomas Luebbig schrieb:
Ein freundliches Hallo zusammen.
Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde.
Das geht nicht, da die Rechner im internen Netzwerk keine weltweit gültige IP-Adresse haben und somit von außen, egal an welchem Port nicht ansprechbar sind.
Dickes NACK
Eventuell könnte es mit einem Werkzeug (da kenne ich aber keins) funktioneren, das auf Deinem Server an Port 5003 lauscht und Anfragen an einen ganz bestimmten Rechner in Deinem internen Netzwerk weiterleitet. Dann wäre es aber vielleicht einfacher, die Applikation direkt auf dem Server laufen zu lassen.
Grundsätzlich geht das schon. Dazu ist z.B.der nat table bei iptables ja da. So Sachen wie nen VNC-server oder voice over IP kann man so weiterleiten. Es werden dann halt alle Pakete die an den router geschickt werden umadressiert nach 192.168.1.xxx. Ich habe genau dieses Scenario bei mir zu Haude. Auf dem Windoze-Rechner im internen Netz spiele ich Countersrike, will aber über gamevoice mit meinem Mitspieler gleichzeitig labern. Mit iptables geht das z.B. für UDP mit IPTABLES -t nat -A PREROUTING -p udp --dport 5003 -j DNAT --to-destination 192.168.1.xxx:5003. In den Einstellungen zur firewall wäre das wahrschienlich FW_FORWARD_UDP="irgendwas". Der Haken ist einzig und allein der, daß von dem internen Rechner ja auch Pakete zurückgeschickt werden sollen. Je nachdem was für einen Service man anbieten will kann das mit nem primitiven Portforwarding klappen oder auch nicht. Bei gamevoice ist das kein Problem, da er die IP-meines Mitspielers in den eingehenden Datenpaketen mitgeteilt bekommt, der router diese dann auch problemlos "zustellt". Ich muß dann nurnoch von Hand bei gamevoice als eigene IP die des routers im Internet eingeben. Klappt wunderbar!
Moin Thomas, * Thomas Luebbig schrieb am 21 Mar 2002:
Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde. Ich habe eben im internen Netz eine Applikation laufen, die von aussen (Internet) erreichbar sein muss.
man rinetd Gruß, Sebastian -- Do not meddle in the affairs of sysadmins, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
On Thursday, 21. March 2002 11:15, Thomas Luebbig wrote:
Ein freundliches Hallo zusammen.
Könnte mir jemand verraten wie die Firewall-Einstellungen sein müssten damit aus dem WAN (Internet) über meinen Linux-Router (213.144.xxx.xxx) der mit 2 Netzwerkkarten läuft (ist ja klar) nur genau ein Port (5003) ins LAN 192.168.1.xxx (internes Netzwerk) weitergeleitet würde. Ich habe eben im internen Netz eine Applikation laufen, die von aussen (Internet) erreichbar sein muss.
Ich weiß nicht ob Du IPchains oder IPtables einsetzt. Das müßte z.B. mit iptables folgendermassen zu lösen sein. iptables -t nat -A PREROUTING -p tcp --dport 5003 -i eth0 -j DNAT --to-destination 192.168.1.xxx Inwieweit sich das in Deine SuSEfirewall integrieren läßt weiß ich leider nicht, aber vielleicht hilfts Dir ja trotzdem weiter. Grüße Andreas
participants (6)
-
Andreas Ittgenshorst -
Axel Heinrici -
Sebastian Helms -
stephan-kurth@t-online.de -
Thomas Luebbig -
Ulf Wagner