AW: SLES9 - massive IPTables Probleme
Hallo nochmal, Kein Problem wg PM...
Ich möchte von extern per VNC über Port 60606 auf einen Rechner im LAN auf dem VNC auf Port 5900 läuft zugreifen.
Hier laufen IMO mehrere Punkte verkehrt:
1. Deine Forward-Rule muss auf Destination-Port 5900 "greifen".
2. Es werden bisher nur "NEW"-Pakete weitergeleitet. Du brauchtst noch eine Regel für ESTABLISHED (und besser auch RELATED), z.B. 'iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'.
Sind dann diese Regeln hier korrekt?
iptables -A FORWARD -i eth1 -m state --state NEW,ESTABLISHED,RELATED -p tcp -d 192.168.1.1 --dport 5900 -j ACCEPT
Nein, das reicht noch nicht. Damit werden nur alle _eingehenden_ Pakete weitergeleitet, die Antworten bleiben auf der Strecke. Du müsstest noch eine "gespiegelte" Regel für die Antworten einfügen. Das halte ich aber auch nicht für sinnvoll, da ggfs. RELATED-Pakete nicht an/von Port 5900 kommen und somit nicht weitergeleitet würden. Ich würde es so machen, wie schon geschrieben: Matchen für die NEW-Pakete und ein Catch-All-Regel für ESTABLISHED,RELATED.
Jetzt bin ich ehrlich gesagt etwas ratlos, was meinst Du mit einer Catch-All-Regel? Könntest Du hier ein Beispiel geben? Wenn es nicht zu viel verlangt ist wäre ich dankbar über die komplette Syntax für mein Vorhaben.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60606 -j DNAT --to-destination 192.168.1.1:5900
Ist IMO OK.
Dann halte ich das mal fest :)
Muss der Port 60606 in der SuSEFirewall2 für externen Zugriff geöffnet werden, oder ist das hinfällig?
Wie schon geschrieben, ich kenne mich mit der SUSE-Firewall nicht aus, aber ich würde erwarten, dass die entsprechenden Optionen der SUSE-Firewall Regeln für INPUT/OUTPUT erstellen. Somit sollte das hinfällig sein.
Mir ist mittlerweise noch etwas aufgefallen: Deine FORWARD-Chain war vorher verdächtig leer. Ist denn Forwarding "eingeschaltet"? ('cat /proc/sys/net/ipv4/ip_forward')
Ja, hatte ich vergessen auf dem Testsystem einzuschalten. Vielen Dank Alex
Hallo Axel. * Samstag, 29. April 2006 um 17:59 (+0200) schrieb Alex Ascherl - SL:
Hallo nochmal,
Kein Problem wg PM...
Ich möchte von extern per VNC über Port 60606 auf einen Rechner im LAN auf dem VNC auf Port 5900 läuft zugreifen.
Matchen für die NEW-Pakete und ein Catch-All-Regel für ESTABLISHED,RELATED.
Jetzt bin ich ehrlich gesagt etwas ratlos, was meinst Du mit einer Catch-All-Regel?
Eine Regel, die auf alle ESTABLISHED,RELATED-Pakete passt. Beispiel siehe unten.
Wenn es nicht zu viel verlangt ist wäre ich dankbar über die komplette Syntax für mein Vorhaben.
OK, Zusammenfassung: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60606 -j DNAT --to-destination 192.168.1.1:5900 iptables -I FORWARD 1 -i eth1 -m state --state NEW -p tcp -d 192.168.1.1 --dport 5900 -j ACCEPT iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
participants (2)
-
Alex Ascherl - SL -
Andreas Koenecke