Hallo! Wie wüßte ich denn vorgehen, um vom Router aus, auf den ich mich von irgendwoher einwähle, auf dahinterliegende Server im LAN zugreifen zu können, http-server oder ftp-server? Auf dem Router läuft nur ein Squid und DNS. Geht das nur mit ipchains- oder iptables-Regeln? Schönen Tag! -- Andreas Meyer http://home.wtal.de/MeineHomepage
hi, On Wed, Jan 16, 2002 at 07:43:11AM +0100, Andreas Meyer wrote:
Wie wüßte ich denn vorgehen, um vom Router aus, auf den ich mich von irgendwoher einwähle, auf dahinterliegende Server im LAN zugreifen zu können, http-server oder ftp-server? auf 1 hhtp und 1 ftp geht das mit portforwarding. sollen mehrere server laufen, so brauchst du mehrere public ip. oder (was ich nicht weiss): vielleicht klappt es mit redirect vom apache: ip/url1 -> server1, ip/url2 -> server2. aber das ist nur ne idee.
ciao sascha -- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
Hallo!
Sascha Andres
On Wed, Jan 16, 2002 at 07:43:11AM +0100, Andreas Meyer wrote:
Wie wüßte ich denn vorgehen, um vom Router aus, auf den ich mich von irgendwoher einwähle, auf dahinterliegende Server im LAN zugreifen zu können, http-server oder ftp-server?
auf 1 hhtp und 1 ftp geht das mit portforwarding. sollen mehrere server laufen, so brauchst du mehrere public ip. oder (was ich nicht weiss): vielleicht klappt es mit redirect vom apache: ip/url1 -> server1, ip/url2 -> server2. aber das ist nur ne idee.
Ich habe mir mal ein kleines script geschrieben, aber sowohl beim Aufruf aus der boot.local als auch aus der ip-up bleibt die Kiste mit kernel 2.2.19 beim Laden der NFS-Servers ca. 10 Minuten hängen; schon beim booten! gamma /usr/sbin/rpc.kstatd[166]: unable to register (SM_PROG, SM_VERS, udp). gamma mountd[169]: unable to register (mountd, 1, udp). Ein anschließendes ipchains -L hängt dann auch minutenlang rum bis so nach und nach die Regeln angezeigt werden. Da steht dann auch was von: Chain input (policy REJECT): Target prot opt source destination ports ACCEPT tcp ---- anywhere 192.168.1.0/24 any -> ftp:3000 ACCEPT udp ---- anywhere 192.168.1.0/24 any -> fsp:3000 Was läuft denn da? Was ist denn fsp? #! /bin/sh # nicht lachen, nur testweise! ipchains -P input REJECT ipchains -A input -s 0/0 -d 192.168.1.0/24 21:3000 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 21:3000 -p UDP -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.2.0/24 -d 0/0 -j MASQ ipchains -A forward -s 0/0 -d 192.168.0.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.1.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.2.0/24 -j MASQ Ich habe das auf dem Router und meiner Workstation getestet und bei beiden Maschinen das gleich Ergebnis. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
hi, On Wed, Jan 16, 2002 at 06:33:46PM +0100, Andreas Meyer wrote:
Ein anschließendes ipchains -L hängt dann auch minutenlang rum bis so nach und nach die Regeln angezeigt werden. das kann daran liegen, dass dns nicht erlaubt ist. erlaube - testweise ganz, ansonsten massgeschneidert auf deinen dns server - mal port 53 in und out. dann lief es auf jedenfall bei mir schneller. [...] Was läuft denn da? Was ist denn fsp? laut /etc/services: fsp 21/udp # UDP File Transfer [...] ipchains -P forward DENY ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.2.0/24 -d 0/0 -j MASQ
ipchains -A forward -s 0/0 -d 192.168.0.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.1.0/24 -j MASQ ipchains -A forward -s 0/0 -d 192.168.2.0/24 -j MASQ
wie sieht es mit output aus. werden da port 53 anfragen erlaubt? die letzen drei MASQ regeln sind eigentlich ueberfluessig. denn du willst ja lediglich dein eigenes netzwerk maskieren, und nicht das internet selber. ciao sascha -- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
Hallo Sascha!
Sascha Andres
das kann daran liegen, dass dns nicht erlaubt ist. erlaube - testweise ganz, ansonsten massgeschneidert auf deinen dns server - mal port 53 in und out. dann lief es auf jedenfall bei mir schneller.
Mein kleines script sieht jetzt so aus: #!/bin/sh ipchains -P input REJECT ipchains -A input -s 0/0 -d 192.168.1.0/24 80 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 111 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 111 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 53 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 21 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 22 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 25 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 110 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 224 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 2049 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 2049 -p UDP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 3128 -p TCP -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.0/24 -p icmp -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ ipchains -A forward -s 192.168.2.0/24 -d 0/0 -j MASQ
wie sieht es mit output aus. werden da port 53 anfragen erlaubt?
Für den output steht alles auf ACCEPT; ist nichts definiert. nslookup, ssh usw. geht damit, nfs noch nicht. Nur warum hängt die Kiste bei 'ipchains -L' ewig rum? Mit dem Weiterleiten von www, dns und ftp vom Router auf den Server ist mir überhaupt nicht klar... :-(
die letzen drei MASQ regeln sind eigentlich ueberfluessig. denn du willst ja lediglich dein eigenes netzwerk maskieren, und nicht das internet selber.
klaro, danke! Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Hi Andreas, On 17 Jan 2002 at 18:32, Andreas Meyer wrote:
Sascha Andres
schrieb: [...]. nslookup, ssh usw. geht damit, nfs noch nicht. Nur warum hängt die Kiste bei 'ipchains -L' ewig rum?
schreib mal ipchains -nL, dann macht er keine Namensauflösung. mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
participants (3)
-
Andreas Meyer
-
Jörg Zimmermann
-
Sascha Andres