Mailinglist Archive: opensuse-de (4264 mails)
| < Previous | Next > |
iptables (zum 2.)
- From: "Maximilian Steinbauer" <steinbauer@xxxxxxxx>
- Date: Mon, 29 Nov 2004 08:03:35 +0100
- Message-id: <004201c4d5e1$8bc11020$121224a3@GERMUCWS18>
Liebe Linuxer,
erst mal danke für die bereits erfolgte Hilfe. Leider klappt es aber nicht und mir ist nicht klar, warum. Ich muss einen Windows (leider) Terminalserver für externe Rechner über Internet zugänglich machen und das hinter meiner SuSEfirewall2.
ext.PC (217.249.238.51)
|
|
ext. ppp0 (217.89.13.2) IP im WWW bekannt über dyndns
Firewall
int.eth0 (192.168.2.1)
|
|
int. (192.168.2.5)
Terminalserver
Also nach Eurer Hilfe hab ich auf der Firewall den Befehl
iptables -t nat -I PREROUTING -p tcp --dport 3398 -j DNAT --to 192.168.2.5
eingegeben und bekomme mit
iptables -L -t nat folgende Ausgabe
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:mercantile to:192.168.2.5:3398
Port 3398 (mercantile in /etc/services) ist für den Terminalserver.
Ich dachte sieht doch gut aus, alle tcp Pakete, egal woher, die auf Port 3398 eingehen, werden auf Ziel 192.168.2.5 umgeleitet. Der Ping von meiner Firewall auf den Terminalserver geht, also das Routing sollte kein Problem darstellen. Leider klappt es aber nicht. Jetzt hab ich auf der Firewall erst mit
tcpdump -i ppp0 port 3389 das ext. Device abgehört. Ergebnis:
217.249.238.51.1026 > 217.89.13.2.ms-wbt-server: s 367963:367963(0) win 8192 <mss 1460> (DF)
Also kommt wohl mein Verbindungsversuch auf den Gateway(Firewall). Jetzt hab ich mit tcpdump -i eth0 port 3389 das interne Device abgehört und erhalte keine Ausgaben. Scheinbar geht hier mein Paket nicht ab. Also in das Logfile der Firewall. Hier finde ich:
SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=217.249.238.51 DST=217.89.13.2 .... SPT=1028 DSP=3389 .....
Also die Firewall erkennt mein Paket an, ABER
müsste hier nach PREROUTING als DST nicht meine 192.168.2.5 stehen? Ich nehme an, die Firewall hat kein OUT-Device, da sie ja denkt, das Paket ist für sie (DST ist ext. IP der Firewall).
Ich find meinen Fehler nicht. Vielen Dank für die Hilfe.
Maximilian Steinbauer
erst mal danke für die bereits erfolgte Hilfe. Leider klappt es aber nicht und mir ist nicht klar, warum. Ich muss einen Windows (leider) Terminalserver für externe Rechner über Internet zugänglich machen und das hinter meiner SuSEfirewall2.
ext.PC (217.249.238.51)
|
|
ext. ppp0 (217.89.13.2) IP im WWW bekannt über dyndns
Firewall
int.eth0 (192.168.2.1)
|
|
int. (192.168.2.5)
Terminalserver
Also nach Eurer Hilfe hab ich auf der Firewall den Befehl
iptables -t nat -I PREROUTING -p tcp --dport 3398 -j DNAT --to 192.168.2.5
eingegeben und bekomme mit
iptables -L -t nat folgende Ausgabe
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:mercantile to:192.168.2.5:3398
Port 3398 (mercantile in /etc/services) ist für den Terminalserver.
Ich dachte sieht doch gut aus, alle tcp Pakete, egal woher, die auf Port 3398 eingehen, werden auf Ziel 192.168.2.5 umgeleitet. Der Ping von meiner Firewall auf den Terminalserver geht, also das Routing sollte kein Problem darstellen. Leider klappt es aber nicht. Jetzt hab ich auf der Firewall erst mit
tcpdump -i ppp0 port 3389 das ext. Device abgehört. Ergebnis:
217.249.238.51.1026 > 217.89.13.2.ms-wbt-server: s 367963:367963(0) win 8192 <mss 1460> (DF)
Also kommt wohl mein Verbindungsversuch auf den Gateway(Firewall). Jetzt hab ich mit tcpdump -i eth0 port 3389 das interne Device abgehört und erhalte keine Ausgaben. Scheinbar geht hier mein Paket nicht ab. Also in das Logfile der Firewall. Hier finde ich:
SuSE-FW-ACCEPT IN=ppp0 OUT= MAC= SRC=217.249.238.51 DST=217.89.13.2 .... SPT=1028 DSP=3389 .....
Also die Firewall erkennt mein Paket an, ABER
müsste hier nach PREROUTING als DST nicht meine 192.168.2.5 stehen? Ich nehme an, die Firewall hat kein OUT-Device, da sie ja denkt, das Paket ist für sie (DST ist ext. IP der Firewall).
Ich find meinen Fehler nicht. Vielen Dank für die Hilfe.
Maximilian Steinbauer
| < Previous | Next > |