PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Lokales netzt durch DNS Abfrage erreichen



Berufspenner
06.10.02, 20:32
Hi@all

Wäre es möglich, ein lokales Netz, welches via NAT ins Internet gelangt, von aus durch eine DNS Anfrage zu erreichen. Ich stelle mir vor:



Gateway host.homelinux.net
Client1 client1.host.homelinux.net
Client2 client2.host.homelinux.net
...


1. Ist das mit NAT überhaupt möglich?
2. Müsste ich dann beim Gateway und bei den Clients beim DNS-Servereintrag die Server von Dyndns.org angeben oder wäre das egal?
3. Wie hoch ist das Sicherheitsrisiko einzuschätzen?
4. Müsste ich sonst noch irgend etwas beachten?

geronet
06.10.02, 20:50
1. NAT ist nicht MASQ.. du meinst bestimmt MASQ
2. es ist überhaupt nicht möglich über DNS auf interne Clients zuzugreifen.. Da du ja nur eine externe IP-Adresse hast nützt dir DNS bzw. DynDNS auch nichts.

Das einzige was du machen kannst ist jedem Client einen bestimmten Port (oder Bereich) forzuwarden, um diesen anzusprechen:
host.homelinux.net:80
host.homelinux.net:81
host.homelinux.net:82
damit kriegst du dann die einzelnen Clients, aber nur jeweils auf diesem Port.

Grüsse, Stefan

Berufspenner
06.10.02, 20:55
1. NAT ist nicht MASQ.. du meinst bestimmt MASQ Ja stimmt, mein Fehler
2. es ist überhaupt nicht möglich über DNS auf interne Clients zuzugreifen.. Da du ja nur eine externe IP-Adresse hast nützt dir DNS bzw. DynDNS auch nichts. Schade, hätte ja sein können. Portforwarding hatte ich mal mit iptables versucht klappte aber nicht wirklich. Kannst du mir vieleicht eine iptablesphrase passend für das forwarden eines beliebingen Ports auf einen lokalen rechner als Beispiel geben?

Cu

geronet
06.10.02, 21:05
Klar kann ich das..

Für tcp:
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport [port-nummer] -j DNAT --to [interne ip]

Für udp das gleiche nur "udp" eingesetzt.

Grüsse, Stefan

Berufspenner
06.10.02, 21:09
Hi

Danke

Cu

Berufspenner
06.10.02, 21:20
Hi

Funkt leider nicht. Den Apachen, den ich auf meiner internen W2k Kiste drauf laufen hab, hat den Port 668. Dem Gateway hab ich die iptablesphrase übergeben jeweils tcp und udp. Doch es funkt nicht. Kannst es ja mal testen: www1.homeunix.org:668 . Mir fällt grade auch nicht ein, dass ich eine Regel gesetzt habe, die das ganze verhindern könnte.

Cu

geronet
06.10.02, 21:29
Hmm, poste mal

iptables -L
iptables -t nat -L

Dir ist schon klar dass du deine dyndns-Adresse nicht von intern testen kannst, das geht nur von einem anderen Internetzugang aus.

Grüsse, Stefan

Berufspenner
06.10.02, 21:38
Hi

> iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT udp -- dns03.btx.dtag.de anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT udp -- anywhere anywhere udp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT udp -- anywhere anywhere udp dpt:fsp
ACCEPT tcp -- anywhere anywhere tcp dpt:27015
ACCEPT udp -- anywhere anywhere udp dpt:27015
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere udp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT udp -- anywhere anywhere udp dpt:4662
ACCEPT tcp -- localnet/24 anywhere tcp dpt:netbios-ssn flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:668
ACCEPT udp -- anywhere anywhere udp dpt:668

Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere

> iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:668 to:192.168.0.2
DNAT udp -- anywhere anywhere udp dpt:668 to:192.168.0.2
DNAT udp -- anywhere anywhere udp dpt:668 to:192.168.0.2:668
DNAT tcp -- anywhere anywhere tcp dpt:668 to:192.168.0.2:668

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Ich hab das ganze mal durch Webmasterspla.com testen lassen hat aber nicht geklapt.

Cu

geronet
06.10.02, 22:11
Du Dussel der funktioniert wie die Sau!
Es ist unmöglich von intern auf deinen Webserver zuzugreifen weil das Portforwarding nur in eine Richtung funktioniert. Probiers mal bei einem Freund aus!

Am besten du schaust mal in die logdatei von dem Server rein dann siehst du dass ich die Hauptseite und die LICENSE angeschaut hab.

Grüsse, Stefan

Berufspenner
06.10.02, 22:20
Hi

Whoops. Ich hab gedacht:rolleyes: , wenn ich das ganze z.B. durch Webmasterplan.com checken lasse würde das Reichen. Scheint wohl nicht so zu sein. Aber Danke, jetzt weis ich das es funktioniert.

Cu