Ports tunneln

#0
09.11.2003, 18:58
...neu hier

Beiträge: 6
#1 Hi,
vielleicht kann mir jemand weiterhelfen. Ich habe einen Suse 8.0 Linux Router
mit der internen IP (192.168.1.1) mit einer Susefirewall2. Das routing habe ich soweit hinbekommen, aber jetzt möchte ich für die clients ports tunneln.
Also z.B. Client9 Win (192.168.1.9) hat einen VNC Server drauf und verwendet den Port 5900 logischer weise. So jetzt kommen wir zum eigentlichen teil wenn ich jetzt von irgendwo meine ip eingebe mit dem Port ip:5909 soll mir der Router den port an den client weiterleiten. Mache ich das mit der firewall oder ssh server und wenn ja wie mache ich das dann?
Ich wäre euch sehr dankbar
Caio
Dr. Cyber
Seitenanfang Seitenende
09.11.2003, 19:10
Member
Avatar Emba

Beiträge: 907
#2 was willst du denn hier tunneln?
du redest hier von forwarding und das wird primär an der FW gemacht

die SuSE-FW hab ich mir nie genau angeschaut (was seine gründe hat), aber sie enthält AFAIK einträge der form FW_xxx, welche das forwarding betreffen

greez
Seitenanfang Seitenende
09.11.2003, 19:16
...neu hier

Themenstarter

Beiträge: 6
#3 ja dann halt forwarding
Aber ich habe auch schonmal was von tunnling gehört.
Gut kann mir jemand forwarding erkläfren
Seitenanfang Seitenende
09.11.2003, 21:33
Ehrenmitglied

Beiträge: 831
#4 http://board.protecus.de/t5237.htm

echo "1" > /proc/sys/net/ipv4/ip_forward # Um Weiterleitungen zu aktivieren

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 22 -j SNAT --to-source 192.168.100.1

iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.100.15 --dport 22 -j ACCEPT

ppp0 ist deine externe Schnittstelle
Port 22 die Weiterleitung (hier ssh)
192.168.100.15 der Zielrechner
192.168.100.1 die IP des Routers

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
09.11.2003, 21:59
Member
Avatar Xeper

Beiträge: 5291
#5 @poiin2000

warum die SNAT rule?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
09.11.2003, 22:16
Ehrenmitglied

Beiträge: 831
#6 Wenn die Antwortpakete ins Internet gehen wird die IP des clients hier .15 in die '--to-source ip' hier .1 umgewandelt

Wir sprechen hier von der Absenderadresse des des Antwortpaketes

p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
09.11.2003, 22:55
Member
Avatar Emba

Beiträge: 907
#7 @poiin

bist du sicher, dass das stimmt?
mit der postrouting rule überschreibst du ja die adresse, an die der client antworten soll
der würde nun an den router antworten, was ja sinnlos ist, da dieser damit nichts anfangen kann (hier greift das conntrack nicht)

die antwortadresse braucht also nicht umgeschrieben werden
desweiteren wird die adresse nicht umgeschrieben, wenn die pakete ins internet gehen, sondern wenn sie eth0 verlassen, was beim routing ins internet nicht der fall ist

oder irre ich hier gewaltig und du klärst mich auf?

greez
Dieser Beitrag wurde am 09.11.2003 um 22:55 Uhr von Emba editiert.
Seitenanfang Seitenende
09.11.2003, 23:14
Ehrenmitglied

Beiträge: 831
#8 Sagen wir einmal so Emba... ich habe das hier aktiv so am laufen....


Die Antwort aus dem Internet auf das Paket mit der geänderten Absenderadresse kommt an.
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.100.15
Dies leitet ja das ganze wieder normal weiter.

Somit lässt sich die Infrastruktur deines Netzwerkes besser schützen.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
10.11.2003, 10:26
Member
Avatar Xeper

Beiträge: 5291
#9 @poiin2000

das ist nicht nötig - Das internet interessiert deine lan addr wirklich sehr wenig entweder du wandelst es in deine public ip um (ggf. static) oder du benutzt masquerading.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.11.2003, 16:19
Member
Avatar Emba

Beiträge: 907
#10 @poiin

ich weiß nicht, wo der nutzen der zusätzlichen postrouting rule hier liegt
sicherheit?
mh....die clients würden das paket eh zum gw schicken, von daher ist es doch überflüssig
naja, kommt sicher spezifisch auf das jeweilige, persönliche fw-script an

ich nutze eine kombi aus state-modul und masq. für ppp0

greez
Seitenanfang Seitenende
10.11.2003, 16:54
...neu hier

Themenstarter

Beiträge: 6
#11 hi,
irgendwie geht das nicht ich habe folgende Befehle eingegeben.

> echo "1" > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10
> iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 5902 -j SNAT --to-source 192.168.1.1
> iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.10 --dport 5902 -j ACCEPT

Port 5902 ist für den vncserver mit der displaynummer 2. Also müsste es doch jetzt gehen, dass ich die wanip:5902 eingebe und dann auf den client mit der ip 192.168.1.10 connecte. Aber das geht nicht.

mfg Dr. Cyber
Seitenanfang Seitenende
10.11.2003, 17:52
Member
Avatar Xeper

Beiträge: 5291
#12 @DrCyber

hab noch nich so wirklich kapiert wat du eigentlich machen willst - wat meinste mit wanip, redeste jetz über deine public ip oder was?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.11.2003, 17:58
...neu hier

Themenstarter

Beiträge: 6
#13 stimmt kannst du mir da weiterhelfen
Seitenanfang Seitenende
10.11.2003, 21:45
Member
Avatar Xeper

Beiträge: 5291
#14 iptables -A PREROUTING -t nat -i ppp0 -s 0/0 -p tcp --dport 5902 -j DNAT --to-destination 192.168.1.10:5902

iptables -A FORWARD -t filter -s 0/0 -p tcp --dport 5902 -j ACCEPT

das sollte gehn - ansonsten bleibt dir gar nix anderes übrig als die manpage durch zu lesen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
11.11.2003, 17:47
...neu hier

Themenstarter

Beiträge: 6
#15 das geht auch nicht.
gibt es auch noch eine andere möglichkeit einen port zu forwarden
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: