AW: SLES9 - massive IPTables Probleme
habe einen SLES 9 mit der SuSEFirewall2 installiert.
ETH1 hat eine öffentliche, feste IP ETH0 ist 192.168.1.1
[...]
Auf den Ports 60606 und 60608 läuft kein Dienst. Diese Ports werden mit extra Scripten nach intern weitergeleitet.
Mache ich nun von extern ein nmap auf Port 60606 bzw 60608 werden diese als "filtered" angezeigt.
Schalte ich nun folgende Iptables Regel für die Weiterleitung ein, bekomme ich immer noch keinen Zugriff auf den Rechner im LAN.
Der Aufruf lautet:
/ iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60606 -j DNAT --to-destination 192.168.1.1:5900 iptables -A FORWARD -i eth1 -m state --state NEW -p tcp -d 192.168.1.1 --dport 60606 -j ACCEPT /
Auch hier zeigt ein NMAP den Port 60606 als filtered an. Ein Versuch per VNC über den Port 60606 zuzugreifen scheitert.
Zeige doch mal die Ausgabe von 'iptables -L FORWARD -nv'.
Gruß
Andreas
Hallo Andreas, Hier die Ausgabe: wwwbeauty:~ # iptables -L FORWARD -nv Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING ' 0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.1.1 state NEW tcp dpt:60606 Was läuft hier verkehrt? Noch mal zum allgemeinen Verständniss... Ich möchte von extern per VNC über Port 60606 auf einen Rechner im LAN auf dem VNC auf Port 5900 läuft zugreifen. Gruß & Danke Alex
Am Samstag, 29. April 2006 12:44 schrieb SuSE Linux:
Was läuft hier verkehrt? Dass vielfach nicht einmal sogenannte Computerfachkräfte mit dem Medium E-Mail umgehen können und in Mailinglisten mit TOFU und Exchangegedöns ....[carrier lost]
Schönen ersten Mai wünscht Wolfgang
* Samstag, 29. April 2006 um 12:44 (+0200) schrieb SuSE Linux:
Zeige doch mal die Ausgabe von 'iptables -L FORWARD -nv'.
Hier die Ausgabe:
wwwbeauty:~ # iptables -L FORWARD -nv Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING ' 0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.1.1 state NEW tcp dpt:60606
Was läuft hier verkehrt? Noch mal zum allgemeinen Verständniss... Ich möchte von extern per VNC über Port 60606 auf einen Rechner im LAN auf dem VNC auf Port 5900 läuft zugreifen.
(Ich kenne mich mit der SUSE-Firewall nicht aus, aber...) Hier laufen IMO mehrere Punkte verkehrt: 1. Deine Forward-Rule muss auf Destination-Port 5900 "greifen". 2. Es werden bisher nur "NEW"-Pakete weitergeleitet. Du brauchtst noch eine Regel für ESTABLISHED (und besser auch RELATED), z.B. 'iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT'. 3. (Eher Kosmetik) Werden die Regeln mit 'iptables -A FORWARD ...' angelegt, dann wird jedes Paket geloggt. Um das zu umgehen, solltest du die Regeln mit 'iptables -I FORWARD ...' vor die LOG-Regel schreiben. (Oder evtl. gibt es für die SUSE-Firewall ein(e) "Custom-Rule"-Bereich/-Datei, in dem/der du die Regeln einfügen kannst.) Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
participants (3)
-
Andreas Koenecke -
SuSE Linux -
Wolfgang Denda