Ports tunneln |
||
---|---|---|
#0
| ||
09.11.2003, 18:58
...neu hier
Beiträge: 6 |
||
|
||
09.11.2003, 19:10
Member
Beiträge: 907 |
#2
was willst du denn hier tunneln?
du redest hier von forwarding und das wird primär an der FW gemacht die SuSE-FW hab ich mir nie genau angeschaut (was seine gründe hat), aber sie enthält AFAIK einträge der form FW_xxx, welche das forwarding betreffen greez |
|
|
||
09.11.2003, 19:16
...neu hier
Themenstarter Beiträge: 6 |
#3
ja dann halt forwarding
Aber ich habe auch schonmal was von tunnling gehört. Gut kann mir jemand forwarding erkläfren |
|
|
||
09.11.2003, 21:33
Ehrenmitglied
Beiträge: 831 |
#4
http://board.protecus.de/t5237.htm
echo "1" > /proc/sys/net/ipv4/ip_forward # Um Weiterleitungen zu aktivieren iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15 iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 22 -j SNAT --to-source 192.168.100.1 iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.100.15 --dport 22 -j ACCEPT ppp0 ist deine externe Schnittstelle Port 22 die Weiterleitung (hier ssh) 192.168.100.15 der Zielrechner 192.168.100.1 die IP des Routers mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
09.11.2003, 21:59
Member
Beiträge: 5291 |
#5
@poiin2000
warum die SNAT rule? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
09.11.2003, 22:16
Ehrenmitglied
Beiträge: 831 |
#6
Wenn die Antwortpakete ins Internet gehen wird die IP des clients hier .15 in die '--to-source ip' hier .1 umgewandelt
Wir sprechen hier von der Absenderadresse des des Antwortpaketes p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
09.11.2003, 22:55
Member
Beiträge: 907 |
#7
@poiin
bist du sicher, dass das stimmt? mit der postrouting rule überschreibst du ja die adresse, an die der client antworten soll der würde nun an den router antworten, was ja sinnlos ist, da dieser damit nichts anfangen kann (hier greift das conntrack nicht) die antwortadresse braucht also nicht umgeschrieben werden desweiteren wird die adresse nicht umgeschrieben, wenn die pakete ins internet gehen, sondern wenn sie eth0 verlassen, was beim routing ins internet nicht der fall ist oder irre ich hier gewaltig und du klärst mich auf? greez Dieser Beitrag wurde am 09.11.2003 um 22:55 Uhr von Emba editiert.
|
|
|
||
09.11.2003, 23:14
Ehrenmitglied
Beiträge: 831 |
#8
Sagen wir einmal so Emba... ich habe das hier aktiv so am laufen....
Die Antwort aus dem Internet auf das Paket mit der geänderten Absenderadresse kommt an. iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15 Dies leitet ja das ganze wieder normal weiter. Somit lässt sich die Infrastruktur deines Netzwerkes besser schützen. mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
10.11.2003, 10:26
Member
Beiträge: 5291 |
#9
@poiin2000
das ist nicht nötig - Das internet interessiert deine lan addr wirklich sehr wenig entweder du wandelst es in deine public ip um (ggf. static) oder du benutzt masquerading. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
10.11.2003, 16:19
Member
Beiträge: 907 |
#10
@poiin
ich weiß nicht, wo der nutzen der zusätzlichen postrouting rule hier liegt sicherheit? mh....die clients würden das paket eh zum gw schicken, von daher ist es doch überflüssig naja, kommt sicher spezifisch auf das jeweilige, persönliche fw-script an ich nutze eine kombi aus state-modul und masq. für ppp0 greez |
|
|
||
10.11.2003, 16:54
...neu hier
Themenstarter Beiträge: 6 |
#11
hi,
irgendwie geht das nicht ich habe folgende Befehle eingegeben. > echo "1" > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10 > iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 5902 -j SNAT --to-source 192.168.1.1 > iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.10 --dport 5902 -j ACCEPT Port 5902 ist für den vncserver mit der displaynummer 2. Also müsste es doch jetzt gehen, dass ich die wanip:5902 eingebe und dann auf den client mit der ip 192.168.1.10 connecte. Aber das geht nicht. mfg Dr. Cyber |
|
|
||
10.11.2003, 17:52
Member
Beiträge: 5291 |
#12
@DrCyber
hab noch nich so wirklich kapiert wat du eigentlich machen willst - wat meinste mit wanip, redeste jetz über deine public ip oder was? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
10.11.2003, 17:58
...neu hier
Themenstarter Beiträge: 6 |
#13
stimmt kannst du mir da weiterhelfen
|
|
|
||
10.11.2003, 21:45
Member
Beiträge: 5291 |
#14
iptables -A PREROUTING -t nat -i ppp0 -s 0/0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10:5902
iptables -A FORWARD -t filter -s 0/0 -p tcp --dport 5902 -j ACCEPT das sollte gehn - ansonsten bleibt dir gar nix anderes übrig als die manpage durch zu lesen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.11.2003, 17:47
...neu hier
Themenstarter Beiträge: 6 |
#15
das geht auch nicht.
gibt es auch noch eine andere möglichkeit einen port zu forwarden |
|
|
||
vielleicht kann mir jemand weiterhelfen. Ich habe einen Suse 8.0 Linux Router
mit der internen IP (192.168.1.1) mit einer Susefirewall2. Das routing habe ich soweit hinbekommen, aber jetzt möchte ich für die clients ports tunneln.
Also z.B. Client9 Win (192.168.1.9) hat einen VNC Server drauf und verwendet den Port 5900 logischer weise. So jetzt kommen wir zum eigentlichen teil wenn ich jetzt von irgendwo meine ip eingebe mit dem Port ip:5909 soll mir der Router den port an den client weiterleiten. Mache ich das mit der firewall oder ssh server und wenn ja wie mache ich das dann?
Ich wäre euch sehr dankbar
Caio
Dr. Cyber