PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache und Portforwarding



FreeK
12.12.04, 04:38
Morgen alle zusammen,

da mein apache auf der Routerkiste regelmaessig steht, hab ich dahinter einen 2. Apache (apach2) eingerichtet. Nun moechte ich alle Anfragen, die an die Routerkiste auf Port 81 kommen auf www2 (192.168.1.2) forwarden.
Ich hab schon alles moegliche versucht, entweder es geht gar nichts, oder alle Anfragen auf 80 gehen durch auf www2.

Kann mir dazu vielleicht jemand ein Howto geben, oder einen Hinweis, wo ich Tipps zu diesem Thema finde?

Danke,
Stephan

Tomek
12.12.04, 10:16
Beispiel für ein Portforwarding:

iptables -A FORWARD -i ppp0 -o eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.1.1:80

FreeK
12.12.04, 16:45
Genau das hab ich schon in verwendung. Vielleicht kann das Forwarding nicht ganz mit meinen besthenden Rules:



EXT_IFACE='ppp0'

echo "1" > /proc/sys/net/ipv4/ip_forward
########
# Global routing

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# SYN FLOOD protection
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT


# Portscan protection
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
´

FreeK
13.12.04, 17:14
Weiss denn keiner Rat?

mfg
Stephan

Tomek
13.12.04, 18:31
Ich sehe kein Portforwarding in deinem Skript. Außerdem weiss ich nicht, was für Default-Policies du bei iptables hast. Löscht du auch jedesmal alle Regeln, bevor du das Skript startest und Portforwardings einfügst?

FreeK
13.12.04, 19:00
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

brauch ich, damit ich ueberhaupt mit den Clients ins Netz kann.



# iptables -L -v -n
Chain INPUT (policy ACCEPT 994K packets, 413M bytes)
pkts bytes target prot opt in out source destination
26763 19M ACCEPT all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT 1688K packets, 551M bytes)
pkts bytes target prot opt in out source destination
33422 1627K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
14441 693K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
3035 127K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5

Chain OUTPUT (policy ACCEPT 937K packets, 293M bytes)
pkts bytes target prot opt in out source destination


Default Policy hab ich in diesem Sinne keine. Trotz RTFM-en bin ich langsam am Ende meines Lateins.

mfg