Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
iptables Portforwarding verwenden (solved)
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Wed Jun 15, 2005 9:48 pm    Post subject: iptables Portforwarding verwenden (solved) Reply with quote

Hi,
laut Gentoo Home Router Guide wird Portforwarding wie folgt verwendet:
Quote:

HTTP forwarding to an internal host
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.56

Da ich mich exakt an den Guide gehalten habe erhalte ich bei der Ausgabe von iptables -L -v keine Information über PREROUTING. Kann es sein das ich die CHAIN PREROUTING erst erstellen muss und das im HowTo nicht erwähnt wird? Wie realisiere ich dies? Danke im voraus.
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens


Last edited by benjamin200 on Thu Jun 16, 2005 9:56 am; edited 1 time in total
Back to top
View user's profile Send private message
NightDragon
Veteran
Veteran


Joined: 21 Aug 2004
Posts: 1156
Location: Vienna (Austria)

PostPosted: Wed Jun 15, 2005 9:57 pm    Post subject: Reply with quote

Hellöle.

versuchs mal so:
Code:
iptables -I FORWARD -i eth1 -p TCP -d 192.168.0.56 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j DNAT --to-destination 192.168.0.56


bei dir steht --to und nicht --to-destination

[EDIT]
In der ersten zeile --> meine IP gelöscht, die 192er eingetragen
[/EDIT]
_________________
You are the problem too all my solutions ;)
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Wed Jun 15, 2005 10:02 pm    Post subject: Reply with quote

Quote:

versuchs mal so:
Code:
iptables -I FORWARD -i eth1 -p TCP -d 10.0.1.7 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j DNAT --to-destination 192.168.0.56


bei dir steht --to und nicht --to-destination

Hi NightDragon,
wie schon angesprochen denke ich das es daran liegt ,das keine Chain PREROUTING erstellt wurde. Ein iptables -L -v zeigt mir lediglich INPUT, OUTPUT und FORWARD. Eine Fehlermeldung beim Absetzen des Kommandos erscheint nicht.

Wieso eigentlich zwei iptables eingaben für Port-Forwarding - kannst du das bitte genauer definieren.
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3495

PostPosted: Wed Jun 15, 2005 10:13 pm    Post subject: Reply with quote

Die wirst Du auch so nicht finden, PRE|POSTROUTING ist keine normale Chain. "Gibts" bei mir auch nicht, dennoch funktioniert sie.

Code:
# iptables -L -v | grep Chain
Chain INPUT (policy DROP 0 packets, 0 bytes)
Chain FORWARD (policy DROP 0 packets, 0 bytes)
Chain OUTPUT (policy DROP 12 packets, 564 bytes)
Chain FWD_EXT_INT (1 references)
Chain FWD_INT_EXT (1 references)
Chain HACKS (1 references)
Chain INP_EXT (1 references)
Chain INP_INT (1 references)
Chain LOGHACKS (19 references)
Chain OUT_EXT (1 references)
Chain OUT_INT (1 references)


Quote:
Wieso eigentlich zwei iptables eingaben für Port-Forwarding - kannst du das bitte genauer definieren.

Pakete auf lokale IP umbiegen:
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j DNAT --to-destination 192.168.0.56

diese Pakete auch reinlassen:
iptables -A FORWARD -i eth1 -p TCP -d 192.168.0.56 --dport 80 -j ACCEPT

ggf. hier weiterlesen: http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html
Back to top
View user's profile Send private message
NightDragon
Veteran
Veteran


Joined: 21 Aug 2004
Posts: 1156
Location: Vienna (Austria)

PostPosted: Wed Jun 15, 2005 10:18 pm    Post subject: Reply with quote

Ursprünglich hatte das Script alles auf "DROP".
Also ne totales Block von allen Daten die da rumsausen.

Miit ersterem soll erreicht werden, das die Packete nicht verworfen werden.
und mit 2. wird direkt forgewartet.

Hm. Wie slick schon sagte - dem ist nicht hinzuzufügen.

*g* Wenn du willst, dann kann ich dir gern das Script zukommen lassen.

Mit dem Script wird das gesamte Netz hier ans Internet angebunden.
_________________
You are the problem too all my solutions ;)
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Wed Jun 15, 2005 11:40 pm    Post subject: Reply with quote

Hab mich gerade zwei Stunden mit meiner neuen Domain und dem SMTP Relay von 1und1 rumschlagen müssen.
SMTP_AUTH über Relay, grrrr. Aber jetzt läufts :)

Quote:

Die wirst Du auch so nicht finden, PRE|POSTROUTING ist keine normale Chain. "Gibts" bei mir auch nicht, dennoch funktioniert sie.

Code:
# iptables -L -v | grep Chain
Chain INPUT (policy DROP 0 packets, 0 bytes)
Chain FORWARD (policy DROP 0 packets, 0 bytes)
Chain OUTPUT (policy DROP 12 packets, 564 bytes)
Chain FWD_EXT_INT (1 references)
Chain FWD_INT_EXT (1 references)
Chain HACKS (1 references)
Chain INP_EXT (1 references)
Chain INP_INT (1 references)
Chain LOGHACKS (19 references)
Chain OUT_EXT (1 references)
Chain OUT_INT (1 references)

Ok bei FWD_EXT_INT sehe ich das du jeweils einen Eintrag. Wie lässt man sich einen sollchen Anzeigen,
um diesen eventuell zu löschen bzw. zu editieren?


Quote:

*g* Wenn du willst, dann kann ich dir gern das Script zukommen lassen.

Mit dem Script wird das gesamte Netz hier ans Internet angebunden.

Nee lass mal, ich will angebunden werden, aber nicht das Internet an mich :)
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Wed Jun 15, 2005 11:55 pm    Post subject: Reply with quote

Irgenwie klappt das bei mir nicht :(

Code:

server benjamin # iptables -t nat -A PREROUTING -p tcp --dport 2354 -i ppp0 -j DNAT --to 192.168.0.33
server benjamin # iptables -L -v | grep Chain
Chain INPUT (policy ACCEPT 43084 packets, 3145K bytes)
Chain FORWARD (policy ACCEPT 133 packets, 56517 bytes)
Chain OUTPUT (policy ACCEPT 106K packets, 17M bytes)
server benjamin #   

_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3495

PostPosted: Thu Jun 16, 2005 9:26 am    Post subject: Reply with quote

benjamin200 wrote:

Ok bei FWD_EXT_INT sehe ich das du jeweils einen Eintrag. Wie lässt man sich einen sollchen Anzeigen,
um diesen eventuell zu löschen bzw. zu editieren?


Anzeigen normalerweise mit
Code:
iptables -L  -n $CHAIN

allerdings zeigt es Dir den nicht so an wie Du den eingegeben hast. Sondern den aktuellen Status.
Du könntest aber mit
Code:
iptables-save | grep $CHAIN

die jeweilige Regel finden. Rauslöschen könntest Du die dann so
Code:
iptables -D $CHAIN $REGEL

Einfügen kannst Du sie jedoch nur immer am Ende einer Chain.

Aber willst Du wirklich zur Laufzeit die iptables-Regeln anpassen?

benjamin200 wrote:
Irgenwie klappt das bei mir nicht :(
Code:
server benjamin # iptables -t nat -A PREROUTING -p tcp --dport 2354 -i ppp0 -j DNAT --to 192.168.0.33
server benjamin # iptables -L -v | grep Chain
Chain INPUT (policy ACCEPT 43084 packets, 3145K bytes)
Chain FORWARD (policy ACCEPT 133 packets, 56517 bytes)
Chain OUTPUT (policy ACCEPT 106K packets, 17M bytes)
server benjamin #   

Was daran geht nicht? Das Du die PREROUTING nicht siehst hatten wir ja schon geklärt. Oder kommen keine Pakete durch?

EDIT: Mach mal cat /proc/sys/net/ipv4/ip_forward ,das muss 1 sein.
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Thu Jun 16, 2005 9:55 am    Post subject: Reply with quote

Quote:

Was daran geht nicht? Das Du die PREROUTING nicht siehst hatten wir ja schon geklärt. Oder kommen keine Pakete durch?

Genau "iptables-save | grep $CHAIN" das habe ich gesucht :)


Quote:

EDIT: Mach mal cat /proc/sys/net/ipv4/ip_forward ,das muss 1 sein.

Code:

server benjamin # cat /proc/sys/net/ipv4/ip_forward
1
server benjamin #


Tread solved, da ich nun die Einträge für PREROUTING auslesen kann :) Danke slick & NightDragon
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum