Port Forwarding mit IPTABLES

P

PhoenixDH

NOOB
Ich habe folgendes Problem:

Ich habe eine Firewall (incl. Router und PPPoe) auf SUSE 10, einen Client und einen VPN Server, was hinter dem VPN Server steht sei mal egal. An der Firewall wird über eth1 eine DSL Verbindung aufgebaut, eth0 geht an einen HUB an dem der VPN Server und der Client hängen.

Es soll simuliert werden, das der Client aus dem Internet heraus sich am VPN Server authorisiert. Das Routen der Anfragen ans Internet heraus funktioniert.
Ich habe ebenso einen DynDNS Client laufen, also versuche ich die VPN Verbindung über den Domainnamen aufzubauen.

Ablauf:
Der Client geht über den Router+Firewall ins Internet, dort wird der DynDNS Name übersetz und er kommt wieder durch die Firewall rein, nun muss ich der Firewall ja mitteilen, wohin der VPN Tunnel gehen soll, also NAT einsetzen.

Jetzt meine Frage, wie richte ich das PAT ein, damit der Router die Anfragen an den VPN Server schickt ?
 
Ich bin mir nicht sicher, aber je verwendetem VPN kannst du das vergessen. Da der Router die Packete verändert kann es sein, dass du kein VPN nutzen kannst. Auf jeden Fall musst du zuerst wissen, welche Ports die Software benutzt.
mfg
mcas
 
Sagen wir ich brauche UDP Port 500 !

Wie müsste das aussehen, das die Packete die an dsl0 reinkommen an 192.168.22.1 gehen ?

Hab gelesen ich bräuchte da ne Regel für einkommende und ausgehende Packete !

Ca. so am Bsp. hhtps und Weberver:
Code:
   iptables -A OUTPUT -p tcp -s dsl0 --destination-port 443 -j ACCEPT
   iptables -A INPUT -p tcp -d dsl0 --source-port 443 -j ACCEPT

Aber das ist nur zulassen oder ? Net das weiterleiten !

Das Weiterleiten sollte das hier sein oder ?
Code:
iptables -A PREROUTING -t nat -p tcp -d dsl0 --dport 80 \
       -j DNAT --to 192.168.22.1:80

Am Bsp. Webserver !

Über eure Hilfe wäre ich euch dankbar !

Kann sein das ich vorgreife mit erlauben verbieten, aber dann kann ich mir weitere Fragen schencken, denn ich werde viele Regeln brauchen ! Aber dazu mehr falls ich net weiterkomme !

Die Regeln werden ja von oben nach unten abgearbeitet, sprich wenn Regeln 3 und 5 zutreffen, dann wird 3 ausgeführt und abgebrochen. Aber wie ist das mit der Eingabe, werden neue Eingaben an den Schluss oder an den Anfang der Tabelle gesetzt ?

Noch ne frage zu enforced path:

Wie kann ich IPTABLES so konfigurieren, das Verbindungen zu 192.168.1.2 nur von 192.168.11.99 zugelassen sind ?
 
Zuletzt bearbeitet:
Sagt mal, kennt sich hier keiner aus oder ist die Hilfsbereitschaft zu diesem Thema allgemein einfach nur gering?

Im Gegensatz zu meinen Vorgängern bring ich schon etwas mehr KnowHow mit und bin auf eine seltsame Problematik gestossen.
Bei mir ist das gleiche Szenario:
- Suse10 Box mit DSL Leitung über eth0 bzw. dsl0 ($EXTDEV)
- Im LAN steht ein WinXP Rechner (internet ip adresse = $LEECHIP) - der win rechner ist über eth3 ($INTDEV) erreichbar
Aber ein unterschiedlicher Beweggrund:
Ich möchte von meiner Windowsmaschine via FTP auf mein Hostinganbieter im Internet zugreifen, damit ich meine Website aktualisieren kann. ; ) Dabei sollte passives FTP genutzt werden.

#================================================= =======
# modul settings
#================================================= =======
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp

# turn on ip forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#================================================= =======
# flushes and presets
#================================================= =======
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -X

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT

#================================================= =======
# prerouting
#================================================= =======

#================================================= =======
# forward - wird generell aktzeptiert - deshalb alles auskommentiert !!
#================================================= =======
# ftp control connection
#$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -p tcp --sport 1024:65535 --dport ftp -j ACCEPT
#$IPTABLES -A FORWARD -i $EXTDEV -o $INTDEV -p tcp ! --syn --sport ftp --dport 1024:65535 -j ACCEPT
# ftp data connection
#$IPTABLES -A FORWARD -i $EXTDEV -o $INTDEV -p tcp --sport ftp-data --dport 1024:65535 -j ACCEPT
#$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -p tcp --sport 1024:65535 --dport ftp-data -j ACCEPT

#================================================= =======
# postrouting
#================================================= =======
# dynamic maquerading
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -j MASQUERADE

So gehts jedenfalls nicht! Fehlen denn hier noch die entsprechenden Einträge im -t NAT PREROUTING?

Liebe Grüße aus München,
Simon
 
*schieb*

Hab immer noch das Problem mit dem FORWARDING!
 

Ähnliche Themen

OpenVPN - Server kann clients nicht erreichen.

openvpn auf debian eingerichtet, probleme mit iptables und routing

Squid als RPCoHTTPS Proxy für Outlook Anywhere

VPN-Tunnel und Routing

Squid nur zum maskieren der eigenen IP, nicht für Webserver auf port 80

Zurück
Oben