hi
ich nochmal
Aber ernsthaft: Die Datagramme, die vom internen Webserver über den Router nach außen müssen, müssen ja auch wieder umadressiert werden; diesmal halt die Absenderadresse. Ich bin mir da jetzt (ist auch irgendwie spät) nicht ganz sicher, ob das automagisch auch durch ein evtl. eingerichtetes MASQUERADING erschlagen wird, so dass man dann die SNAT-Regel nicht bräuchte. Also eventuell ersetzt die Regel "iptables -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE" die zweite Regel komplett.
das die wieder rausgehenden pakete wieder um adressiert werden müßen, seh ich auch. das ganze geschieht meiner meinung nach, durch die von dir genannte regel.
iptables -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE
ich bin jetzt aber davon ausgegangen, das vladonline schon ein firewallscript besitzt und ihm nur der part für den webserver fehlt.
ich zitiere jetzt mal ein wenig *freihändig* aus "Das Firewall Buch"
folgende regel läßt pakete, die zu einer eingehenden, bereits bestehenden verbindung gehören, wieder hinaus:
Code:
#rückkanal: serverdienste
iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.0.1 -m state --state ESTABLISHED,RELATED -j ACCEPT
als nächstes wird ein regel für eingehende pakete inklusive verbindungsaufbau benötigt.da aber nur eine öffentl ip-adresse vorhanden ist, welche schon durch den router *belegt* ist, müssen eingehende verbindungen an den eigentlichen webserver im lan weitergeleitet werden. das geschieht durch Destination NAT.
Code:
#Eingehende HTTP-Verbindung, DNAT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --sport 1024:65565 --dport 80 -j DNAT --to 192.168.0.1
eingehende pakete auf dem interface ppp0 werden an den webserver weitergereicht. die zieladresse des paketes wird dabei umgeschrieben. das ist allerdings noch keine filterregel, die das eingehende http-paket durchläßt. die muß extra gesetzt werden. der routingmechanismus des netfilter-frameworks sorgt dafür, das man dabei direkt die regel so setzen kann, als gäbe es kein nat. ziel-ip ist die tatsächlich vorhandene (hier 192.168.0.1) ohne rücksicht auf nat und private ip-adressen.
Code:
#Eingehende HTTP-Verbindung, Paketfilterregel
iptables -A FORWARD -i ppp0 -o eth0 -d 192..168.0.1 -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport 1024:65656 --dport 80 -j ACCEPT
gute nacht
Gruß HangLoose
Lesezeichen