Hallo! Sascha Andres schrieb: ,

On Wed, Jan 16, 2002 at 07:43:11AM +0100, Andreas Meyer wrote:

...

Wie wüßte ich denn vorgehen, um vom Router aus, auf den ich mich von irgendwoher einwähle, auf dahinterliegende Server im LAN zugreifen zu können, http-server oder ftp-server?

auf 1 hhtp und 1 ftp geht das mit portforwarding. sollen mehrere server laufen, so brauchst du mehrere public ip. oder (was ich nicht weiss): vielleicht klappt es mit redirect vom apache: ip/url1 -> server1, ip/url2 -> server2. aber das ist nur ne idee.

Ich habe mir mal ein kleines script geschrieben, aber sowohl beim Aufruf aus der boot.local als auch aus der ip-up bleibt die Kiste mit kernel 2.2.19 beim Laden der NFS-Servers ca. 10 Minuten hängen; schon beim booten! gamma /usr/sbin/rpc.kstatd[166]: unable to register (SM_PROG, SM_VERS, udp). gamma mountd[169]: unable to register (mountd, 1, udp). Ein anschließendes ipchains -L hängt dann auch minutenlang rum bis so nach und nach die Regeln angezeigt werden. Da steht dann auch was von: Chain input (policy REJECT): Target prot opt source destination ports ACCEPT tcp ---- anywhere 192.168.1.0/24 any -> ftp:3000 ACCEPT udp ---- anywhere 192.168.1.0/24 any -> fsp:3000 Was läuft denn da? Was ist denn fsp? #! /bin/sh # nicht lachen, nur testweise! ipchains -P input REJECT ipchains -A input -s 0/0 -d 192.168.1.0/24 21:3000 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 21:3000 -p UDP -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.2.0/24 -d 0/0 -j MASQ ipchains -A forward -s 0/0 -d 192.168.0.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.1.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.2.0/24 -j MASQ Ich habe das auf dem Router und meiner Workstation getestet und bei beiden Maschinen das gleich Ergebnis. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage

Hallo Sascha! Sascha Andres schrieb:

das kann daran liegen, dass dns nicht erlaubt ist. erlaube - testweise ganz, ansonsten massgeschneidert auf deinen dns server - mal port 53 in und out. dann lief es auf jedenfall bei mir schneller.

Mein kleines script sieht jetzt so aus: #!/bin/sh ipchains -P input REJECT ipchains -A input -s 0/0 -d 192.168.1.0/24 80 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 111 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 111 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 53 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 21 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 22 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 25 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 110 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 224 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 2049 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 2049 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 3128 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 -p icmp -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.2.0/24 -d 0/0 -j MASQ

wie sieht es mit output aus. werden da port 53 anfragen erlaubt?

Für den output steht alles auf ACCEPT; ist nichts definiert. nslookup, ssh usw. geht damit, nfs noch nicht. Nur warum hängt die Kiste bei 'ipchains -L' ewig rum? Mit dem Weiterleiten von www, dns und ftp vom Router auf den Server ist mir überhaupt nicht klar... :-(

die letzen drei MASQ regeln sind eigentlich ueberfluessig. denn du willst ja lediglich dein eigenes netzwerk maskieren, und nicht das internet selber.

klaro, danke! Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage