Hallo. * Mittwoch, 12. November 2008 um 16:36 (+0100) schrieb Ralf Prengel:
als absolut Nichtwissender in Sachen iptables habe ich im Moment ein echtes Problem. Try und error ist in dem speziellen Fall keine Option.
Folgende Konstellation
internes Netz 192.168.5.x x x innere Firewall 192.168.5.168 192.168.0.168 x x DMZ Netz 192.168.0.x x x äussere Firewall 192.168.0.1 x x Internet
In das DMZ-Netz komme ich per VPN und kann mich per ssh auch über die innere Firewall weiter ins innere Netz hangeln. Mein Problem: Ich brauche aber einen direkten ssh Zugriff auf ein internes System. Beide IPs sind bekannt.
- die dich vom VPN Gateway in der DMZ zugewiesen bekomme
- die des Zielsystems
Wie könnte da eine iptables-Regel aussehen?
Ich verstehe zwar nicht 100%-ig, was du hast (z.B. wo steht in obigem Schema das VPN-Gateway?) und was du willst (Was heisst "direkt"? Über das Internet oder durch den VPN-Tunnel?), aber vielleicht reicht simples DNAT auf der inneren Firewall: 'iptables -t nat -I PREROUTING 1 -p tcp --dport <In-Port> -j DNAT \ --to-destination <Ziel-IP>:22' und 'iptables -I FORWARD 1 -p tcp -s <Deine IP> -d <Ziel-IP> --dport 22 -j ACCEPT' <In-Port> ist ein freier Port auf der inneren Firewall, der dann als Zielport im ssh-Client angegeben werden muss. Vorraussetzung ist dabei, dass auch die Antwortpakete des Rechner mit der Ziel-IP richtig zum VPN-Gateway geroutet werden und durch die innere Firewall kommen. Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org