Ports tunneln

#1 Hi,
vielleicht kann mir jemand weiterhelfen. Ich habe einen Suse 8.0 Linux Router
mit der internen IP (192.168.1.1) mit einer Susefirewall2. Das routing habe ich soweit hinbekommen, aber jetzt möchte ich für die clients ports tunneln.
Also z.B. Client9 Win (192.168.1.9) hat einen VNC Server drauf und verwendet den Port 5900 logischer weise. So jetzt kommen wir zum eigentlichen teil wenn ich jetzt von irgendwo meine ip eingebe mit dem Port ip:5909 soll mir der Router den port an den client weiterleiten. Mache ich das mit der firewall oder ssh server und wenn ja wie mache ich das dann?
Ich wäre euch sehr dankbar
Caio
Dr. Cyber

#2 was willst du denn hier tunneln?
du redest hier von forwarding und das wird primär an der FW gemacht

die SuSE-FW hab ich mir nie genau angeschaut (was seine gründe hat), aber sie enthält AFAIK einträge der form FW_xxx, welche das forwarding betreffen

greez

#3 ja dann halt forwarding
Aber ich habe auch schonmal was von tunnling gehört.
Gut kann mir jemand forwarding erkläfren

#4 http://board.protecus.de/t5237.htm

echo "1" > /proc/sys/net/ipv4/ip_forward # Um Weiterleitungen zu aktivieren

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 22 -j SNAT --to-source 192.168.100.1

iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.100.15 --dport 22 -j ACCEPT

ppp0 ist deine externe Schnittstelle
Port 22 die Weiterleitung (hier ssh)
192.168.100.15 der Zielrechner
192.168.100.1 die IP des Routers

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 @poiin2000

warum die SNAT rule?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Wenn die Antwortpakete ins Internet gehen wird die IP des clients hier .15 in die '--to-source ip' hier .1 umgewandelt

Wir sprechen hier von der Absenderadresse des des Antwortpaketes

p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#7 @poiin

bist du sicher, dass das stimmt?
mit der postrouting rule überschreibst du ja die adresse, an die der client antworten soll
der würde nun an den router antworten, was ja sinnlos ist, da dieser damit nichts anfangen kann (hier greift das conntrack nicht)

die antwortadresse braucht also nicht umgeschrieben werden
desweiteren wird die adresse nicht umgeschrieben, wenn die pakete ins internet gehen, sondern wenn sie eth0 verlassen, was beim routing ins internet nicht der fall ist

oder irre ich hier gewaltig und du klärst mich auf?

greez

#8 Sagen wir einmal so Emba... ich habe das hier aktiv so am laufen....


Die Antwort aus dem Internet auf das Paket mit der geänderten Absenderadresse kommt an.
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15
Dies leitet ja das ganze wieder normal weiter.

Somit lässt sich die Infrastruktur deines Netzwerkes besser schützen.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#9 @poiin2000

das ist nicht nötig - Das internet interessiert deine lan addr wirklich sehr wenig entweder du wandelst es in deine public ip um (ggf. static) oder du benutzt masquerading.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 @poiin

ich weiß nicht, wo der nutzen der zusätzlichen postrouting rule hier liegt
sicherheit?
mh....die clients würden das paket eh zum gw schicken, von daher ist es doch überflüssig
naja, kommt sicher spezifisch auf das jeweilige, persönliche fw-script an

ich nutze eine kombi aus state-modul und masq. für ppp0

greez

#11 hi,
irgendwie geht das nicht ich habe folgende Befehle eingegeben.

> echo "1" > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10
> iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 5902 -j SNAT --to-source 192.168.1.1
> iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.10 --dport 5902 -j ACCEPT

Port 5902 ist für den vncserver mit der displaynummer 2. Also müsste es doch jetzt gehen, dass ich die wanip:5902 eingebe und dann auf den client mit der ip 192.168.1.10 connecte. Aber das geht nicht.

mfg Dr. Cyber

#12 @DrCyber

hab noch nich so wirklich kapiert wat du eigentlich machen willst - wat meinste mit wanip, redeste jetz über deine public ip oder was?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 stimmt kannst du mir da weiterhelfen

#14 iptables -A PREROUTING -t nat -i ppp0 -s 0/0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10:5902

iptables -A FORWARD -t filter -s 0/0 -p tcp --dport 5902 -j ACCEPT

das sollte gehn - ansonsten bleibt dir gar nix anderes übrig als die manpage durch zu lesen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#15 das geht auch nicht.
gibt es auch noch eine andere möglichkeit einen port zu forwarden