Re: Port weiterleiten
Ich nehme mal an du meinst tcp. Prinzipiell mit iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination Adresse[:port]. Wenn du tatsächlich FTP weiterleiten willst musst du die Module ip_conntrack ip_conntrack_ftp ip_nat_ftp laden. Soll auch noch der Port geändert werde wirst du eventuell noch den FTP-Modulen sagen müssen auf welchen Port du weiterleitest. Fehlen die conntrack- und nat-Module werden Antwortpakete in der Steuerverbindung und die Pakete der Data-connection nicht als, zu der Verbindung gehörend, erkannt und von irgendwelchen anderen Regeln in der Firewall gematcht. Dies führt zu schwer nachvollziehbaren Fehlern (Verbindungsabbrüchen). Die Module sorgen dafür, dass kein zweites Paket der Verbindung irgendwo gematcht wird.
Kleiner Tip: http://www.netfilter.org/documentation/
Hallo, ich habe folgendes probiert: #!/bin/sh insmod ip_conntrack insmod ip_conntrack_ftp insmod ip_nat_ftp iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.105.1.2 Das funktioniert bei mir nicht. Woran könnte das liegen? Gruß, Martin
Hi Am Donnerstag, 27. Februar 2003 13:35 schrieb Martin Spütz:
Hallo,
ich habe folgendes probiert:
#!/bin/sh insmod ip_conntrack insmod ip_conntrack_ftp insmod ip_nat_ftp
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.105.1.2
Das funktioniert bei mir nicht. Woran könnte das liegen?
Gute Frage. Da gibt es diverse Fehlerquellen. Nur die aufzuzählen, die mir einfallen, zöge sich allerdings etwas hin. Die obere Regel natted und entnatted (immer wieder schön dieses Germlish) zwar alle Pakete richtig, garantiert aber nicht, dass nicht irgendeine Regel in FORWARD oder POSTROUTING sich da noch einmischt. Läuft denn sonst noch irgendeine firewall? Was genau geht nicht (connect oder nur der Datenaustausch oder alles)? Gibt es eventuell noch Masqerading/SNAT in POSTROUTING? Gibt es eventuell sogar Logs die dir verraten an welcher Stelle die Pakete hängenbleiben? Zur Erklärung: Die DNAT Regel ändert die Ziel-Adresse aller auf Port 21 ankommenden tcp-Packete. Zudem ändert sie auch die Adsender-Adresse aller zurückkommenden Pakete innerhalb dieser tcp-Verbindung. Mittels des connections-Trackings tut diese Regel selbiges auch mit den Paketen der Data-connection (wird erst bei "put" oder "get" aufgemacht). Dennoch passieren diese Pakete die chain FORWARD und POSTROUTING. Die Pakete sollten in der FORWARD-chain nicht gefiltert (ist wohl selbstverständlich) und in der POSTROUTING-chain auch nicht mehr umadressiert werden (Regeln mit -j MASQUERADE .... oder -j SNAT). mfg Axel
participants (2)
-
Axel Heinrici
-
Martin Spütz