Anzeige:
Ergebnis 1 bis 9 von 9

Thema: iptables - simples Port Forwarding

  1. #1
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31

    iptables - simples Port Forwarding

    Hallo

    ich hab folgendes Problem.

    internes Netz 192.168.1.1/24 (Interface lan)
    WAN Port zum nächsen Router 192.168.11.3 (Interface wan)

    Nun möchte ich ein Port Forwarding von 192.168.1.1:5901 auf 192.168.11.3:5900

    Wie sieht eine solche iptables Regel aus?

    LG

  2. #2
    Registrierter Benutzer Avatar von Hitman
    Registriert seit
    May 2002
    Ort
    Rhein-Main-Gebiet
    Beiträge
    475
    iptables -t nat -A PREROUTING -d 192.168.1.1 -p tcp --dport 5901 -j DNAT --to-dest 192.168.11.3:5900

  3. #3
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31
    Ja so hab ich das auch schon versucht.

    Aber wenn ich mit dem Client (192.168.1.5) versuche auf 192.168.1.1:5901 zu zugreifen, kommt die Anfrage nicht beim 192.168.11.3 auf Port 5900 raus.

    Benötige ich noch eine weitere Regel?

    Forwarding zwischen den Adapter ist aktiviert!

    Ich brauch also eine Art Port Weiterleitung vom LAN ins WAN Netz, wobei das WAN wieder das LAN Netz des zweiten Routers ist.
    Geändert von onlineuser (16.03.13 um 16:48 Uhr)

  4. #4
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31
    Mein Netzwerk ist ähnlich aufgebaut.



    Laut dieser Skizze hat mein Server fürs LAN die 192.168.0.1. Der Client hat u.a. die IP 192.168.0.5.

    Die Firewall hat ein Routing zwischen LAN und DMZ - hat mit dem alten Server schon funktioniert.
    Nun hab ich den 192.168.0.1 erneuert und möchte ein Port Forwarding für den Client 192.168.0.5 mit iptables-Regeln einrichten.
    Der 192.168.0.5 soll via 192.168.0.1:5901 auf die 192.168.1.2:5900 weitergeleitet werden.

    Es liegt definitiv an den Regeln, denn mit dem alten Server (Windows Port Mapping mit CCProxy) funktioniert es problemlos.

    Es scheint noch eine Forward-Regel zu fehlen, weil wenn ich mit

    iptables -A FORWARD -j ACCEPT
    am Ende funktioniert es.

    Ja, Forwarding-Regel fehlte! :-)
    Geändert von onlineuser (16.03.13 um 21:54 Uhr)

  5. #5
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31
    So funktionierts nun.

    iptables -t nat -A PREROUTING -p tcp --dport 5901 -j DNAT --to-destination 192.168.11.3:5900
    iptables -t nat -A POSTROUTING -p tcp --dport 5900 -j MASQUERADE
    iptables -A FORWARD -p tcp -i lan -s 192.168.2.5 -o eth0 -d 192.168.1.1 --dport 5901 -j ACCEPT
    iptables -A FORWARD -p tcp -i eth0 -s 192.168.1.1 -o lan -d 192.168.2.5 -j ACCEPT
    Wozu benötigt man eigentlich die zweite Regel? Ohne Masqerade würde beim 192.168.1.1 die Anfrage mit der IP des Clients ankommen, oder? Und so wird die Client IP mit der WAN-IP ersetzt, oder?

    Kann man hier noch etwas optimieren bzw. sicherer machen?
    Geändert von onlineuser (16.03.13 um 22:05 Uhr)

  6. #6
    Who's Johnny? Avatar von L00NIX
    Registriert seit
    Mar 2004
    Beiträge
    1.228
    Hi,

    Das Netzwerk 192.168.11.0/24 ist nirgends erwähnt. Wo steht denn das?

    Zitat Zitat von onlineuser Beitrag anzeigen
    Kann man hier noch etwas optimieren bzw. sicherer machen?
    Sicherer geht immer, z.B. das unverschlüsselte VNC nicht ohne SSH-Tunnel zu nutzen.

    Gruß
    L00NIX

  7. #7
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31
    Ok, das Netzwerk 11.0 ist wiederrum die DMZ vom nächsten Router.
    Das Forwarding dafür macht jedoch ein anderer Router. Das Netz 11.0 ist über 1.1 erreichbar.

  8. #8
    Who's Johnny? Avatar von L00NIX
    Registriert seit
    Mar 2004
    Beiträge
    1.228
    Zitat Zitat von onlineuser Beitrag anzeigen
    Ok, das Netzwerk 11.0 ist wiederrum die DMZ vom nächsten Router.
    Das Forwarding dafür macht jedoch ein anderer Router. Das Netz 11.0 ist über 1.1 erreichbar.
    OK, solange der Router vom 11er-Netz auch eine korrekte Routingtabelle hat.

    Grundsätzlich würde ich NAT (SNAT, DNAT, MASQERADING) sparsam verwenden, also nur, wenn bei einer Verbindung Pakete über das Internet müssen. Die internen Netzwerke sollten alle reine Routing-Beziehungen haben.

    Das ist aber wenn ich es richtig verstanden habe so.

    Was bei deinen NAT-Regeln etwas seltsam ist: Du verwendest keine Netzwerk-Interfaces, also wo der Datenverkehr reinkommt bzw. rausgeht. Damit werden alle Pakete an Port 5900 geNATet, egal wo sie herkommen und hingehen. Die NAT-Regeln greifen übrigens vor den FORWARD-Regeln.

    Gruß
    L00NIX

  9. #9
    Registrierter Benutzer
    Registriert seit
    Aug 2007
    Beiträge
    31
    Ja, befindet sich alles im "internen" Netz.

    Mit reinem Routing müßte der VNC Server auf 192.168.11.3 (DMZ) jedoch die Antwortpakete an den 192.168.2.5 (LAN) zurücksenden, der kennt jedoch das 2.0er Netz nicht, weil es sich hinter dem 192.168.1.0 versteckt.

    Oder verstehe ich da etwas falsch?

Ähnliche Themen

  1. iptables und http
    Von brooklyn1205 im Forum Router und Netzaufbau
    Antworten: 8
    Letzter Beitrag: 07.03.07, 17:19
  2. Ports blocken, es geht einfach nicht >.<
    Von Wayne Static im Forum Sicherheit
    Antworten: 9
    Letzter Beitrag: 29.07.05, 13:31
  3. iptables Firewall & ICQ
    Von Schlams im Forum System installieren und konfigurieren
    Antworten: 23
    Letzter Beitrag: 14.08.03, 21:29
  4. probleme mit iptables-firewall!
    Von gravity im Forum Anbindung an die Aussenwelt
    Antworten: 8
    Letzter Beitrag: 17.06.03, 22:48
  5. Iptables
    Von MisterX im Forum Linux in heterogenen Netzen
    Antworten: 17
    Letzter Beitrag: 09.03.03, 19:15

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •