Mailinglist Archive: opensuse-de (1522 mails)

< Previous Next >
AW: SLES9 - massive IPTables Probleme
  • From: "Alex Ascherl - SL" <Linux@xxxxxxxxxxxx>
  • Date: Sat, 29 Apr 2006 17:59:30 +0200
  • Message-id: <68F08175A30A8344A44EEB7BCCBDF1352395@xxxxxxxxxxxxxxxxxxxxx>
Hallo nochmal,

Kein Problem wg PM...

>> >> Ich möchte von extern per VNC über Port 60606 auf einen
>> >Rechner im LAN auf
>> >> dem VNC auf Port 5900 läuft zugreifen.
>> >
>> >Hier laufen IMO mehrere Punkte verkehrt:
>> >
>> >1. Deine Forward-Rule muss auf Destination-Port 5900 "greifen".
>> >
>> >2. Es werden bisher nur "NEW"-Pakete weitergeleitet. Du
>> >brauchtst noch eine
>> > Regel für ESTABLISHED (und besser auch RELATED), z.B.
>> > 'iptables -A FORWARD -m state --state ESTABLISHED,RELATED
>> >-j ACCEPT'.
>>
>> Sind dann diese Regeln hier korrekt?
>>
>> iptables -A FORWARD -i eth1 -m state --state
>NEW,ESTABLISHED,RELATED -p tcp
>> -d 192.168.1.1 --dport 5900 -j ACCEPT
>
>Nein, das reicht noch nicht. Damit werden nur alle _eingehenden_ Pakete
>weitergeleitet, die Antworten bleiben auf der Strecke. Du
>müsstest noch eine
>"gespiegelte" Regel für die Antworten einfügen. Das halte ich
>aber auch nicht
>für sinnvoll, da ggfs. RELATED-Pakete nicht an/von Port 5900
>kommen und somit
>nicht weitergeleitet würden. Ich würde es so machen, wie schon
>geschrieben:
>Matchen für die NEW-Pakete und ein Catch-All-Regel für
>ESTABLISHED,RELATED.

Jetzt bin ich ehrlich gesagt etwas ratlos, was meinst Du mit einer Catch-All-Regel?
Könntest Du hier ein Beispiel geben?

Wenn es nicht zu viel verlangt ist wäre ich dankbar über die komplette Syntax für mein Vorhaben.

>
>> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60606 -j DNAT
>> --to-destination 192.168.1.1:5900
>
>Ist IMO OK.

Dann halte ich das mal fest :)

>
>> Muss der Port 60606 in der SuSEFirewall2 für externen
>Zugriff geöffnet
>> werden, oder ist das hinfällig?
>
>Wie schon geschrieben, ich kenne mich mit der SUSE-Firewall
>nicht aus, aber ich
>würde erwarten, dass die entsprechenden Optionen der
>SUSE-Firewall Regeln für
>INPUT/OUTPUT erstellen. Somit sollte das hinfällig sein.
>
>Mir ist mittlerweise noch etwas aufgefallen: Deine
>FORWARD-Chain war vorher
>verdächtig leer. Ist denn Forwarding "eingeschaltet"?
>('cat /proc/sys/net/ipv4/ip_forward')
>

Ja, hatte ich vergessen auf dem Testsystem einzuschalten.


Vielen Dank

Alex

< Previous Next >
Follow Ups