Derdel
08.01.03, 13:05
Soweit funktioniert alles ohne Probleme, nur mit meinem FTP-Server hinter meinem Router habe ich noch Probleme. Bekomme es einfach nicht gebacken, das man von aussen drauf zugreifen kann.
Konfiguration sieht wie folgt aus:
2x Win 2000 rechner IP 192.168.110.11 und 192.168.110.12
Linuxrouter mit Suse 8.0 2 Netzwerkkarten eth0=192.168.110.10
eth1=192.168.110.99 geht ins www
Mein Iptables-Script sieht wie folgt aus:
#!/bin/sh
# Meine kleine Firewall
modprobe iptable_nat
#Variable setzen
IPTABLES=/usr/sbin/iptables
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Die MTU entsprechend auf 1452 einstellen (pmtu)
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#win2000 netzwerk
$IPTABLES -A INPUT -p tcp -i ppp0 --dport netbios-ssn -j DROP
$IPTABLES -A INPUT -p tcp -i ppp0 --dport telnet -j DROP
#ftp-Client
$IPTABLES -A INPUT -p tcp -i ppp0 --dport ftp -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o ppp0 --dport ftp -j ACCEPT
# FTP Client (Data Port fuer nicht-PASV transfers)
$IPTABLES --append INPUT -p TCP -s 0/0 --source-port 20 -j ACCEPT
# Tables forblock anlegen
$IPTABLES -N forblock
# TCP Ports 4661, 4662 generell annehmen
# UDP Port 4665 generell annehmen
$IPTABLES -A forblock -i ppp0 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A forblock -i ppp0 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A forblock -i ppp0 -p udp --sport 4665 -j ACCEPT
#Emule und Edonkey weiterleiten
$IPTABLES -A PREROUTING -t nat -p tcp --dport 4661 -i ppp0 -j DNAT --to 192.168.110.11
$IPTABLES -A PREROUTING -t nat -p tcp --dport 4662 -i ppp0 -j DNAT --to 192.168.110.11
$IPTABLES -A PREROUTING -t nat -p udp --sport 4665 -i ppp0 -j DNAT --to 192.168.110.11
# Tabelle forblock forwarden !
$IPTABLES -A FORWARD -j forblock
#FTP-server auf meinem Windows200 Client
$IPTABLES -t nat -A POSTROUTING -o eth0 -d 192.168.110.11 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.110.10
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp -d 192.168.110.99 --dport 20 -j DNAT --to 192.168.110.11:20
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp -d 192.168.110.99 --dport 21 -j DNAT --to 192.168.110.11:21
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp -d 192.168.110.99 --dport 20 -j DNAT --to 192.168.110.11:20
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp -d 192.168.110.99 --dport 21 -j DNAT --to 192.168.110.11:21
#Samber von aussen dicht machen
$IPTABLES -A FORWARD -o ppp0 -p tcp --dport 137:139 -j DROP
$IPTABLES -A FORWARD -o ppp0 -p udp --dport 137:139 -j DROP
#kein Ping von aussen
$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP
Habe schon einiges probiert (man findet ja viel im Netz), aber es will einfach nicht klappen.
Dank im vorraus
Jens
Konfiguration sieht wie folgt aus:
2x Win 2000 rechner IP 192.168.110.11 und 192.168.110.12
Linuxrouter mit Suse 8.0 2 Netzwerkkarten eth0=192.168.110.10
eth1=192.168.110.99 geht ins www
Mein Iptables-Script sieht wie folgt aus:
#!/bin/sh
# Meine kleine Firewall
modprobe iptable_nat
#Variable setzen
IPTABLES=/usr/sbin/iptables
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Die MTU entsprechend auf 1452 einstellen (pmtu)
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#win2000 netzwerk
$IPTABLES -A INPUT -p tcp -i ppp0 --dport netbios-ssn -j DROP
$IPTABLES -A INPUT -p tcp -i ppp0 --dport telnet -j DROP
#ftp-Client
$IPTABLES -A INPUT -p tcp -i ppp0 --dport ftp -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o ppp0 --dport ftp -j ACCEPT
# FTP Client (Data Port fuer nicht-PASV transfers)
$IPTABLES --append INPUT -p TCP -s 0/0 --source-port 20 -j ACCEPT
# Tables forblock anlegen
$IPTABLES -N forblock
# TCP Ports 4661, 4662 generell annehmen
# UDP Port 4665 generell annehmen
$IPTABLES -A forblock -i ppp0 -p tcp --dport 4661 -j ACCEPT
$IPTABLES -A forblock -i ppp0 -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A forblock -i ppp0 -p udp --sport 4665 -j ACCEPT
#Emule und Edonkey weiterleiten
$IPTABLES -A PREROUTING -t nat -p tcp --dport 4661 -i ppp0 -j DNAT --to 192.168.110.11
$IPTABLES -A PREROUTING -t nat -p tcp --dport 4662 -i ppp0 -j DNAT --to 192.168.110.11
$IPTABLES -A PREROUTING -t nat -p udp --sport 4665 -i ppp0 -j DNAT --to 192.168.110.11
# Tabelle forblock forwarden !
$IPTABLES -A FORWARD -j forblock
#FTP-server auf meinem Windows200 Client
$IPTABLES -t nat -A POSTROUTING -o eth0 -d 192.168.110.11 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.110.10
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp -d 192.168.110.99 --dport 20 -j DNAT --to 192.168.110.11:20
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp -d 192.168.110.99 --dport 21 -j DNAT --to 192.168.110.11:21
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp -d 192.168.110.99 --dport 20 -j DNAT --to 192.168.110.11:20
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp -d 192.168.110.99 --dport 21 -j DNAT --to 192.168.110.11:21
#Samber von aussen dicht machen
$IPTABLES -A FORWARD -o ppp0 -p tcp --dport 137:139 -j DROP
$IPTABLES -A FORWARD -o ppp0 -p udp --dport 137:139 -j DROP
#kein Ping von aussen
$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP
Habe schon einiges probiert (man findet ja viel im Netz), aber es will einfach nicht klappen.
Dank im vorraus
Jens