Wie funktioniert Port-Forwarding?
Hallo, Mein lokales Netzwerk geht über einen SuSE Linux 7.3 Rechner via ISDN ins Internet. Ich besitze keinen dauernde Anbindung und bekommen bei jedem Verbindungsaufbau eine neue IP. Nun möchte ich, dass Anfragen an den Port 80 (also Webserver) nicht vom Linux Rechner, sondern von einem besseren Rechner im lokalen Netz beantwortet werden sollen. Dazu benutzt man, glaube ich, die iptables. Diese sind auch installiert. Außerdem habe ich die SuSEFirewall2 (falls das wichtig ist). Auf jeden Fall, habe ich versucht, nach dem studieren eines iptables HowTo, mit folgendem Befehl mein Port-Forwarding einzurichten: iptables -v -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.206.15 Wobei 192.168.206.15 die lokale Adresse meines Webservers darstellen soll. Leider hat der Befehl nicht gefunz. Es hat immer noch der Webserver auf dem Linux Router geantwortet. Wie lautet der richtige Befehl? Oder habe ich einen grundlegenden Fehler gemacht? Die besten Grüße, olsen
Hallo,
Mein lokales Netzwerk geht über einen SuSE Linux 7.3 Rechner via ISDN ins Internet. Ich besitze keinen dauernde Anbindung und bekommen bei jedem Verbindungsaufbau eine neue IP.
Nun möchte ich, dass Anfragen an den Port 80 (also Webserver) nicht vom Linux Rechner, sondern von einem besseren Rechner im lokalen Netz beantwortet werden sollen. Dazu benutzt man, glaube ich, die iptables. Diese
Hallo, ganz einfach: iptables -A Forward -p tcp -i <Device> /also, eth0, ipp0, etc.) -s 0/0 --sport 80 -d <dest. IP> (zb. 217.184.57.3) --dport (Dest. Port) Mit freundlichen Grüßen, -- Timo Dotzauer Systemadministration inovex GmbH Karlsruher Straße 71 D-75179 Pforzheim Tel: +49-(0)72 31 - 31 91 79 Fax: +49-(0)72 31 - 31 91 91 mailto:t.dotzauer@inovex.de http://www.inovex.de
-----Ursprüngliche Nachricht----- Von: Timo Dotzauer [mailto:tdotzauer@online.de] Gesendet: Mittwoch, 3. April 2002 11:16 An: olsen; suse-linux@suse.com Betreff: RE: Wie funktioniert Port-Forwarding?
Hallo,
Mein lokales Netzwerk geht über einen SuSE Linux 7.3 Rechner via ISDN ins Internet. Ich besitze keinen dauernde Anbindung und bekommen bei jedem Verbindungsaufbau eine neue IP.
Nun möchte ich, dass Anfragen an den Port 80 (also Webserver) nicht vom Linux Rechner, sondern von einem besseren Rechner im lokalen Netz beantwortet werden sollen. Dazu benutzt man, glaube ich, die iptables. Diese
Hallo,
ganz einfach:
iptables -A Forward -p tcp -i <Device> /also, eth0, ipp0, etc.) -s 0/0 --sport 80 -d <dest. IP> (zb. 217.184.57.3) --dport (Dest. Port)
Nachtrag: am ende noch: -j ACCEPT Mit freundlichen Grüßen, -- Timo Dotzauer Systemadministration inovex GmbH Karlsruher Straße 71 D-75179 Pforzheim Tel: +49-(0)72 31 - 31 91 79 Fax: +49-(0)72 31 - 31 91 91 mailto:t.dotzauer@inovex.de http://www.inovex.de
Timo Dotzauer meinte:
iptables -A Forward -p tcp -i <Device> /also, eth0, ipp0, etc.) -s 0/0 --sport 80 -d <dest. IP> (zb. 217.184.57.3) --dport (Dest. Port)
Nachtrag:
am ende noch: -j ACCEPT
Hallo Liste, Ich habe es nochmal mit diesem Befehl probiert iptables -A FORWARD -v -p tcp -i ippp0 -s 0/0 --sport 80 -d 192.168.206.15 --dport 80 -j ACCEPT Aber noch immer meldet erscheint die Website des Webservers auf dem Router selbst. Doofe Frage: Muss man das System neustarten, wenn man den Befehl eingegeben hat? Dann habe ich es noch mit diesem Befehl probiert: iptables -v -t nat -I PREROUTING -p tcp -i ippp0 --dport 80 -j DNAT --to-destination 192.168.206.15 Und immer noch nichts neues. Für weiter Hilfe wäre ich sehr dankbar! Cya olsen PS - Wie kann man die Regeln wieder löschen?
Hi
Ich habe es nochmal mit diesem Befehl probiert
iptables -A FORWARD -v -p tcp -i ippp0 -s 0/0 --sport 80 -d 192.168.206.15 --dport 80 -j ACCEPT
Aber noch immer meldet erscheint die Website des Webservers auf dem Router selbst.
Das ist normal.
Doofe Frage: Muss man das System neustarten, wenn man den Befehl eingegeben hat?
Nein
Dann habe ich es noch mit diesem Befehl probiert:
iptables -v -t nat -I PREROUTING -p tcp -i ippp0 --dport 80 -j DNAT --to-destination 192.168.206.15 Und immer noch nichts neues.
hmmm.. Wie sehen denn deine Regeln ansonsten überhaupt aus? Mach mal nen iptables -L -nv und 'nen iptables -t nat -L -nv. Die Regel alleine muß eigentlich gehen. Kann IMHO nur noch am zusammenspiel mit den restlichen Regeln hängen. Zur Vermeidung eines Etikette flames kannst du das auch als PM an mich schicken.
PS - Wie kann man die Regeln wieder löschen? iptables -D /chain /Regelnummer z.B. iptables -t nat -D PREROUTING 1
Gruß Axel
Hi
iptables -v -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.206.15 In meiner Version heißt es zwar -j DNAT --to-destination xxx..., aber nehme mal an, daß das so auch geht (manchmal ist iptables da sehr geizig mit den Fehlermeldungen).
Wobei 192.168.206.15 die lokale Adresse meines Webservers darstellen soll.
Leider hat der Befehl nicht gefunz. Es hat immer noch der Webserver auf dem Linux Router geantwortet. Wie lautet der richtige Befehl? Oder habe ich einen grundlegenden Fehler gemacht?
Die Regel steht am Ende der Regelkette. Versuch es mal statt mit "-A PREROUTING" mit "-I PREROUTING". Dann sollte die Regel am anfang der Kette stehen. Sonst besteht bei solchen Experimenten immer die Gefahr, daß die Regel wirkungslos bleibt. Und die Regel ist in diesem Fall allerdings so allgemein, daß auch www-Zugriffe vom internen Netz auf das Internet umgeleitet werden. Also eventuell noch ein "-i ippp0" in die Regel einfügen.
Hallo Liste? geht Port Forwarding nicht auch ohne NAT? Ich habs nie probiert, ich dachte aber das es auch ohne gehen könnte. Ich benutze NAT nur für das umbiegen von IP Adressen. Mit freundlichen Grüßen, -- Timo Dotzauer Systemadministration inovex GmbH Karlsruher Straße 71 D-75179 Pforzheim Tel: +49-(0)72 31 - 31 91 79 Fax: +49-(0)72 31 - 31 91 91 mailto:t.dotzauer@inovex.de http://www.inovex.de
-----Ursprüngliche Nachricht----- Von: Axel Heinrici [mailto:axel.foley-beverly-hills@gmx.de] Gesendet: Mittwoch, 3. April 2002 11:50 An: suse-linux@suse.com Betreff: Re: Wie funktioniert Port-Forwarding?
Hi
iptables -v -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.206.15 In meiner Version heißt es zwar -j DNAT --to-destination xxx..., aber nehme mal an, daß das so auch geht (manchmal ist iptables da sehr geizig mit den Fehlermeldungen).
Wobei 192.168.206.15 die lokale Adresse meines Webservers darstellen soll.
Leider hat der Befehl nicht gefunz. Es hat immer noch der Webserver auf dem Linux Router geantwortet. Wie lautet der richtige Befehl? Oder habe ich einen grundlegenden Fehler gemacht?
Die Regel steht am Ende der Regelkette. Versuch es mal statt mit "-A PREROUTING" mit "-I PREROUTING". Dann sollte die Regel am anfang der Kette stehen. Sonst besteht bei solchen Experimenten immer die Gefahr, daß die Regel wirkungslos bleibt. Und die Regel ist in diesem Fall allerdings so allgemein, daß auch www-Zugriffe vom internen Netz auf das Internet umgeleitet werden. Also eventuell noch ein "-i ippp0" in die Regel einfügen.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi On Wednesday 03 April 2002 12:03, Timo Dotzauer wrote:
Hallo Liste?
geht Port Forwarding nicht auch ohne NAT?
Ich denke nein
Ich habs nie probiert, ich dachte aber das es auch ohne gehen könnte. Ich benutze NAT nur für das umbiegen von IP Adressen.
Das ist ja auch genau das, was Olsen vor hat (Realname wäre schon irgendwie besser). Die von dir vorgeschlagene forward-rule würde nur zu forwardende Packete akzeptieren. Der router muß ja erstmal wissen, daß die Packete zu forwarden sind und an wen. Und wenn die an ihn selbst adressiert sind, dann landen die in der Input chain. Um Packete, die die destination IP des routers selbst haben, umzuleiten muß vor der routing decision was passieren. Und da bietet sich halt halt das DNAT target im NAT table an. Ich habe das selber an meinem DSL-router schon oft so gemacht, um services wie Voice over IP oder VNC auf dem router anzubieten, wobei die Sachen auf einem Rechner im masqueraded net liefen. Die Regeln, die ich dazu benutzt habe sahen fast genau so aus wie die, die Olsen gepostet hat. Gruß Axel p.s. Auf dieser Liste ist TOFU sehr unbeliebt. Die Leute hier mögen scheinbar kein Jeopardy :-)
participants (3)
-
Axel Heinrici -
olsen -
Timo Dotzauer