Hallo Ekkard. * Freitag, 14. März 2008 um 21:48 (+0100) schrieb Ekkard Gerlach:
[ DNAT vnc ]
Nach wie vor komme ich aber nicht zum Ziel. Gehe ich von einem anderen PC im Internet (Laptop mit UMTS-Verbindng über Handy) auf myfirewall.dyndns.org:3333, dann bekomme ich bei
# telnet myfirewall.dyndns.org 3333 einen offenen Port: amilo:/home/gerlach # telnet <myfirewall>.dyndns.org 3333 Trying 85.180.67.181... Connected to xxxxxxxxxxxx.dyndns.org. Escape character is '^]'.
Hm, seltsam... Da fehlt -- sofern es sich um den vncserver handelt -- noch eine Zeile wie z.B. "RFB 003.008".
Ein krdc auf die firewall meldet: entfernter Host akzeptiert keine Verbindung.
Wandle ich den FORWARD von --dport 5900 auf --dport 22 ab, einfach mal um zu sehen ob ich per ssh auf "firewallPC", also gerlach@amilo:/home/linuxburg/inf> ssh -p 3333 root@XXXXXXXXXX.dyndns.org -v OpenSSH_4.4p1, OpenSSL 0.9.8d 28 Sep 2006 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to XXXXXXXXXXXXXX.dyndns.org [85.180.68.64] port 3333. debug1: Connection established. debug1: identity file /home/gerlach/.ssh/identity type -1 debug1: identity file /home/gerlach/.ssh/id_rsa type -1 debug1: identity file /home/gerlach/.ssh/id_dsa type -1 ssh_exchange_identification: Connection closed by remote host
Das dauert ca. 5 Minuten.
Mich wundert, dass überhaupt eine Art Verbindung hergestellt wird. Die beiden 'iptables'-Zeilen gehen nur zusammen, das IP:Port beim "--to-destination" der PREROUTING-Zeile muss mit den "-d <IP>" und "--dport <Port>" der FORWARD-Zeile übereinstimmen. (BTW: Die PREROUTING-Zeile ist für das Forwarding zuständig und die FORWARD-Zeile lässt die "geforwardeten" Pakete passieren.)
Also geht noch nichts durch. Das Forward auf der firewall scheint nicht zu funktionieren. Warum?
Ein tcpdump seitens des fremdPC auf ippp1 (Einwahl-device) zeigt währenddessen nichts an! Ein tcpdump auf meinPC zeigt ständig was an, ich vermute nichts von dem ssh-Aufruf bis auch etwas wie das:
21:25:40.450532 arp who-has fli4l tell rex3.site 21:25:40.450809 arp reply fli4l is-at 00:00:f4:b2:42:e7
Das ist ein normaler arp-Request/-Reply und hat nichts mit dem Problem zu tun.
Ideen?
Mehrere: - Es kann sein, dass die Antwortpakete nicht zurückkommen. Obwohl ich meine gelesen zu haben, dass Antwortpakete von "geNATteten" Pakten nicht mehr durch die FORWARD-Chain zurück müssen, bin ich mir jetzt nicht mehr sicher. Gib doch noch bitte zusätzlich zu den geposteten Befehlen ein 'iptables -A FORWARD -p tcp -s 192.168.10.220 --sport 5900 -j ACCEPT' ein. - Poste doch bitte die Ausgaben von 'iptables -t nat -L -n -v' und 'iptables -L FORWARD -n -v'. Danach sehen wir dann weiter... Gruß Andreas -- XMMS spielt gerade "Blue Oyster Cult - Harvester of Eyes (Bonus track)"... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org