Ich habe den Versuch mal vereinfacht: nur auf port 5900 von "meinPC" zugreifen, nicht gleich den "großen Wurf" noch über ISDN. Und auch das geht nicht mit: iptables -t nat -A PREROUTING -p tcp --dport 3333 -j DNAT --to-destination 192.168.0.52:5900 iptables -A FORWARD -p tcp -d 192.168.0.52 --dport 5900 -j ACCEPT (route add .... unnötig, weil firewall 192.168.0.1 im gleichen Subnet) Dazu dann auch noch damit getestet: iptables -A FORWARD -p tcp -s 192.168.0.52 --sport 5900 -j ACCEPT Und immer noch nicht! Lasse ich das Laptop dann über mein LAN auf meinPC 192.168.0.52 zugreifen, gehts! Also ist 5900 von meinPC offen. Übrigens: eröffne ich einen Tunnel vom Laptop mit ssh -L 1123:192.168.0.52:5900 <myfirewall>.dyndns.org dann funktioniert krdc localhost:1123 sehr gut. Es will einfach das Forwarding nicht! * Andreas Koenecke schrieb:
Ideen?
Mehrere:
- Es kann sein, dass die Antwortpakete nicht zurückkommen. Obwohl ich meine gelesen zu haben, dass Antwortpakete von "geNATteten" Pakten nicht mehr durch die FORWARD-Chain zurück müssen, bin ich mir jetzt nicht mehr sicher. Gib doch noch bitte zusätzlich zu den geposteten Befehlen ein 'iptables -A FORWARD -p tcp -s 192.168.10.220 --sport 5900 -j ACCEPT' ein.
- Poste doch bitte die Ausgaben von 'iptables -t nat -L -n -v' und
'iptables -L FORWARD -n -v'. fli4l 3.0.1 # iptables -L FORWARD -n -v Chain FORWARD (policy DROP 0 packets, 0 bytes)
jetzt für den einfach Fall wie oben beschrieben: fli4l 3.0.1 # iptables -t nat -L -n -v Chain PREROUTING (policy ACCEPT 631 packets, 56482 bytes) pkts bytes target prot opt in out source destination 0 0 pre-in-ovpn all -- tun+ * 0.0.0.0/0 0.0.0.0/0 /* if:tun+:any pre-in-ovpn */ 0 0 DNAT tcp -- * * 0.0.0.0/0 85.180.66.205 tcp dpt:2222 to:192.168.0.52:22 11 704 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3333 to:192.168.0.52:5900 Chain POSTROUTING (policy ACCEPT 263 packets, 10826 bytes) pkts bytes target prot opt in out source destination 0 0 post-out-ovpn all -- * tun+ 0.0.0.0/0 0.0.0.0/0 /* if:any:tun+ post-out-ovpn */ 46 2760 MASQUERADE all -- * * 192.168.0.0/24 0.0.0.0/0 /* POSTROUTING_LIST_1='IP_NET_1 MASQUERADE' */ 0 0 MASQUERADE all -- * * 192.168.1.0/24 0.0.0.0/0 /* POSTROUTING_LIST_2='IP_NET_2 MASQUERADE' */ Chain OUTPUT (policy ACCEPT 17 packets, 986 bytes) pkts bytes target prot opt in out source destination Chain post-out-ovpn (1 references) pkts bytes target prot opt in out source destination 0 0 post-out-ovpn-testuser all -- * tun0 0.0.0.0/0 0.0.0.0/0 /* if:any:tun0 post-out-ovpn-testuser */ 0 0 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0 /* if:any:tun+ ACCEPT */ Chain post-out-ovpn-testuser (1 references) pkts bytes target prot opt in out source destination Chain pre-in-ovpn (1 references) pkts bytes target prot opt in out source destination 0 0 pre-in-ovpn-testuser all -- tun0 * 0.0.0.0/0 0.0.0.0/0 /* if:tun0:any pre-in-ovpn-testuser */ Chain pre-in-ovpn-testuser (1 references) pkts bytes target prot opt in out source destination pkts bytes target prot opt in out source destination 55 3300 TCPMSS tcp -- * ppp0 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 2003 740K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED /* FORWARD_ACCEPT_DEF */ 0 0 DROP all -- * * 127.0.0.1 0.0.0.0/0 state NEW /* FORWARD_ACCEPT_DEF */ 0 0 DROP all -- * * 0.0.0.0/0 127.0.0.1 state NEW /* FORWARD_ACCEPT_DEF */ 97 5988 PORTFWACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW /* state:NEW PORTFWACCESS */ 0 0 fw-ovpn all -- * tun+ 0.0.0.0/0 0.0.0.0/0 /* ovpn VPN traffic */ 0 0 fw-ovpn all -- tun+ * 0.0.0.0/0 0.0.0.0/0 /* ovpn VPN traffic */ 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 /* FORWARD_LIST_1='tmpl:samba DROP' */ 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 /* FORWARD_LIST_1='tmpl:samba DROP' */ 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 /* FORWARD_LIST_1='tmpl:samba DROP' */ 55 3300 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0 /* FORWARD_LIST_2='IP_NET_1 ACCEPT' */ 0 0 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0 /* FORWARD_LIST_3='IP_NET_2 ACCEPT' */ 42 2688 fw-rej all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.52 tcp dpt:5900 0 0 ACCEPT tcp -- * * 192.168.0.52 0.0.0.0/0 tcp spt:5900
Danach sehen wir dann weiter...
Gruß
Andreas
Danke Dir, Gruss Ekkard -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org