[Sorry, das ist vesehentlich als PM rausgegangen -- Noch einmal an die Liste...] Hallo Alex. * Samstag, 29. April 2006 um 13:50 (+0200) schrieb Alex Ascherl - SL:
Noch mal zum allgemeinen Verständniss... Ich möchte von extern per VNC über Port 60606 auf einen Rechner im LAN auf dem VNC auf Port 5900 läuft zugreifen.
Hier laufen IMO mehrere Punkte verkehrt:
1. Deine Forward-Rule muss auf Destination-Port 5900 "greifen".
2. Es werden bisher nur "NEW"-Pakete weitergeleitet. Du brauchtst noch eine Regel für ESTABLISHED (und besser auch RELATED), z.B. 'iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'.
Sind dann diese Regeln hier korrekt?
iptables -A FORWARD -i eth1 -m state --state NEW,ESTABLISHED,RELATED -p tcp -d 192.168.1.1 --dport 5900 -j ACCEPT
Nein, das reicht noch nicht. Damit werden nur alle _eingehenden_ Pakete weitergeleitet, die Antworten bleiben auf der Strecke. Du müsstest noch eine "gespiegelte" Regel für die Antworten einfügen. Das halte ich aber auch nicht für sinnvoll, da ggfs. RELATED-Pakete nicht an/von Port 5900 kommen und somit nicht weitergeleitet würden. Ich würde es so machen, wie schon geschrieben: Matchen für die NEW-Pakete und ein Catch-All-Regel für ESTABLISHED,RELATED.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60606 -j DNAT --to-destination 192.168.1.1:5900
Ist IMO OK.
Muss der Port 60606 in der SuSEFirewall2 für externen Zugriff geöffnet werden, oder ist das hinfällig?
Wie schon geschrieben, ich kenne mich mit der SUSE-Firewall nicht aus, aber ich würde erwarten, dass die entsprechenden Optionen der SUSE-Firewall Regeln für INPUT/OUTPUT erstellen. Somit sollte das hinfällig sein. Mir ist mittlerweise noch etwas aufgefallen: Deine FORWARD-Chain war vorher verdächtig leer. Ist denn Forwarding "eingeschaltet"? ('cat /proc/sys/net/ipv4/ip_forward') Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --