iptables -> Regel fürs Forwarden...

#1 Hallo,

ich möchte zeitweise das Internet auf Port 80 sperren für die LAN-Clients und zeitweise statt dessen auf das Intranet forwarden...

Also, ich möchte z.B. wenn die IP 192.168.0.10 eine Anfrage ins WWW auf Port 80 stellen will (z.B. gmx.de) , das die Anfrage nach 192.168.0.2 Port 80 umgeleitet wird.... oder halt auf ne' andere externe IP....

Allerdings krieg ich die Syntax irgendwie net ganz zusammen...
hab jetzt :

$IPTABLES -t nat -A PREROUTING -i $gutes_if -s 192.168.0.10 -p tcp \
--dport 80 -j DNAT --to-destination 192.168.0.2

versucht, aber das funzt net.... fehler:

Warning: weird character in interface `-s' (No aliases, :, ! or *).
Bad argument `192.168.0.10`
Try `iptables -h' or 'iptables --help' for more information.


Habt ihr ne' Idee, wie ich das realisieren kann?
danke schonmal!

cu
frk

#2 Erstmal falsches Forum.
Zweitens:

# iptables -A PREROUTING -t nat -i eth0 -s 192.168.0.0 \
> -p tcp --dport 80 -j DNAT --to destination 192.168.0.2:80

ggf. noch diese Regel:

# iptables -A INPUT -s 192.168.0.0 -p tcp --dport 80 -o ppp0 -j DROP

Diese Regel muss eventuell for allen forward regeln stehen entweder per -I ganz nach oben setzen oder die anderen Regeln löschen.

Du musst natürlich noch eine entsprechende FORWARD Regel angeben musst aber nur dann wenn die Policy auf DROP steht oder so eine entsprechende Regel noch nicht gegeben ist.
(optionen varierien!)

MFG
Xeper
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Sorry, wegen dem falschen Forum...

Deine Regel bringt mir auch die Fehlermeldung wie vorher, das er mit der -s nix anfangen kann irgendwie.... noch ne' andere Idee?

cu
frk

#4 Hmm das sieht nach nem großen Problem aus.

Welche Distribution benutzt du?
Welches Kernel Release benutzt du? (uname -r)
Welche iptables version nutzt du? (iptables --version)
Irgendein netfilter support problem im Kernel?!
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Distri:
Debian 3.0 sid

Kernel :
2.4.21-grsec

iptables :
iptables v1.2.8

und mitm netfilter support problem im kernel ... mh würd ich eigentlich nicht sagen...


cu
frk

#6 Hm hab das gleiche aufm Router bis auf grsecurity patch. Schon mal versucht die Regel so einzugeben ohne script?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 wenn ichs auffer shell eingebe:

iptables v1.2.8: Bad IP address `destination'

#8 Hmm im Moment hab ich keine Ahnung dies entzieht sich im moment meiner Logik:

# iptables -A PREROUTING -t nat -i eth0 -s 192.168.0.0 \
> -p tcp --dport 80 -j DNAT --to destination 192.168.0.2:80

Diese Regel funktioniert bei mir einwandfrei. Welche Module hast du denn geladen?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 .... der fehler war bei --to destination ... mit --to-destination gings!!! Danke vielmals !


cu
frk

#10 ups *g* verdammt mein Fehler sorry aber heute ist mir sowieso vieeel zu warm, und es ist möglich das ich den Fehler nicht mit tippe sondern scho automatisch einfach nur '--to-destination' schreib. Aber naja es ist gelöst
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 jop.. thx funzt wunderbar!