Hallo! Am Wed, 6 Feb 2002 15:46:31 +0100 schrieb "Jörg Zimmermann":
Ich habe extra deshalb erwähnt, daß Du durch den Gateway routen kannst! Damit bekommst Du Port 80 (oder ssh oder was auch immer) durch den Gateway, ohne dessen Integrität zu verletzen.
Wobei mich daran ja wirklich interessieren würde, wie ein routing ins LAN von außen konfiguriert werden muß. Geht das nur über ipchains oder iptables? Da sitzt man dann zwei Wochen am ausfeilen und tut nichts anderes. rinetd und ftp-proxy reichen da ja nicht aus...
Was interessiert Dich denn da genau? Du benötigst eine öffentliche IP, einen funktionierenden DNS, und sei es der bei Deinem Provider. Dann kannst Du Pakete aus dem Internet über Portforewarding mit iptables oder mit ipchains/ipwadm auf andere hosts weiterreichen. Naja, und die Zeit hängt wohl eher von Deinen Zielen, Deinen Kenntnissen und Deiner Perfektion ab.
Öffentliche IP ja. (schicke meinen Router bei Bedarf mit dem Handy online, der Gute (dank David Haller) übermittelt seine IP auf meine Homepage und ich kann mich dann mit dieser IP auf meinen hinter dem Router liegenden Webserver und FTPserver verbinden. Das gelingt mir aber nur mit rinetd und ftp-proxy. Mein DNS funktioniert tadellos. Eigentlich war ich der Meinung, daß eine einfache Regel wie: ipchains -P input DENY ipchains -A input -i lo -j ACCEPT ipchains -A input -s 0.0.0.0 -d 192.168.1.77 80 -p TCP -j ACCEPT ipchains -P forward DENY ipchains -A forward -s 192.168.1.77 80 -d 192.168.1.1 80 -p TCP -j ACCEPT dafür sorgen würde, daß auf dem Router auf Port 80 ankommende Pakete durchgereicht werden würden. Es geht aber nur in Verbindung mit rinetd. Warum? Da beginnen eben meine Schwierigkeiten. Ich war der Meinung, der kernel würde sowas handeln. Es geht auch nicht wenn ich 'ipchains -P input ACCEPT' setze. Daß andere Protokolle wie FTP schwieriger zu handlen sind, ist klar. Aber den DNS auf Port 53 UDP müßte ich auch durchbringen. Bei ssh war der Meinung, sie würde nur mit privileged ports (22) arbeiten; das ist aber anscheinend auch nicht so. Und alle ports 1024:65535 öffnen? Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage