Port-Forwarding geht, aber nicht auf anderen Port

[fesek]

Hallo Leute,

hier kurz die magischen zwei Zeilen:

$IPTABLES -A FORWARD -i $EXTIF -p tcp --dport 100 -m state --state NEW -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p tcp -i $EXTIF --dport 100 -j DNAT --to 192.168.0.3:100

Das funktioniert ganz gut.
Zum Test läuft da ein FTP-Server auf dem Port, den ich von außen kontaktiere.
Wenn ich jetzt aber den FTP-Server auf Port 21 horchen lassen und 100 zu 21 umleite, dann geht wieder nichts -> timeout:

$IPTABLES -A FORWARD -i $EXTIF -p tcp --dport 100 -m state --state NEW -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p tcp -i $EXTIF --dport 100 -j DNAT --to 192.168.0.3:22

Woran mag das wohl liegen?
Hab hier schon rumgestöbert, aber nichts passendes gefunden.


Danke für die Mühen
fesek :-)

[kpone]

Hi,

versuche es mal hiermit:

$IPTABLES -A FORWARD -i $EXTIF -p tcp --dport ftp -m state --state NEW -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p tcp -i $EXTIF --dport ftp \
-j DNAT --to 192.168.0.3:21


Gruss kpone

[edit]: Ich sehe gerade, dass Du es ja auf Port 100 haben willst. Dann solltest Du aber wenigstens auf Port 21 umleiten (nicht 22). Vielleicht ein Schreibfehler zur späten Stunde .

[fesek]

Sorry, mit deinem Beitrag kann ich nicht viel anfangen.
Auf dem Server selbst läuft auch ein FTP auf dem Port 21. Damit ein FTP-Server dahinter angesprochen werden kann, soll eben der Port 100 zu dem anderen internen Rechner nach 21 umgeleitet werden.
Ja, das war ein Schreibfehler :-)
Muß da was mit POSTROUTING hin?

[kpone]

Aso.... sorry, dann hatte ich Dein erstes Posting falsch verstanden. Da es bei Deinem 100. Port geklappt hat weiss ich auch nicht woran es liegt.

Nachfolgend der Teil meines Scriptes. Bei mir funzt es.

$IPTABLES -t nat -A PREROUTING -i $IF_EXT -d $WEBSERVER1_EXT -p tcp \
--dport ftp -j DNAT --to-destination $WEBSERVER1_INT:21

$IPTABLES -A FORWARD -i $IF_EXT -d $WEBSERVER1_INT -p tcp --dport ftp \
-m state --state NEW -j ACCEPT

Wie Du siehst wird nur noch der Zielhost genauer angegeben, weiss aber nicht inwiefern es von Bedeutung ist.

Gruss kpone
PS: Falls Du eine Lösung gefunden hast, würde ich Dich bitten sie zu posten. thx!

[jado]

Um das Problem einzugrenzen würd ich zum Einen bei allen "drop" rules das Logging aktivieren und auch mal per "tcpdump" lauschen, wie der TCP-Verkehr zw. Firewall, internem FTP-Server und externem Client aussieht.

Ja, ist jetzt noch keine Lösung, aber vielleicht findet man so die Ursache des Problems und dann die Lösung *hoff*

greez

[Bubble]

Kann es sein dass dein FTP-Server von Port 21 aus nicht mehr durch den Packet-Filter nach außen kommt? Könnte es evtl. eine Regel geben die das von Port 21, nicht jedoch von Port 100 unterbindet?

Ein tcpdump auf dem FTP-Server sollte hier Aufschluß geben ...
Bubble

[fesek]

Hallo. Sorry, ich habe eine Regel gehabt, die alles in der Richtung unterbunden hat.
Danke für die Hilfe!