NAT Server Port Freigeben...

[DieKrabbe]

Hallo,

ich habe zuhause ein HomeServer mit Debian 7 und Gnome. Darauf Installiert ist ein NAT Server der über wlan0 (mit DHCP Server) Internet bezieht der es an eth0 der an einem Switcher (alter Router ohne DHCP Server) angeschlossen ist das Internet verteilt.
Nun möchte ich auf dem Client PC Windows 7 einen Spiele Server z.B Unturned mit dem Port 25444 laufen lassen zum Zsm. Zocken.
Im Router (womit wlan0 verbunden ist) ist der Port 25444 für den Server Freigeschaltet. Ich habe es Bereits mit IPtables Befehle versucht aber nicht hinbekommen. Welche Befehle muss ich nutzen bzw. Konfigurieren?

wlan0:
adresse 192.168.1.4
gateway 192.168.1.1

eth0:
adresse 192.168.1.4
gateway 0.0.0.0 (damit er das Internet vom Wlan bezieht und nicht versucht von Lan)




IPTAbles:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:25444
ACCEPT udp -- anywhere anywhere udp dpt:25444
ACCEPT tcp -- anywhere anywhere tcp dpt:33333
ACCEPT udp -- anywhere anywhere udp dpt:33333
ACCEPT udp -- anywhere anywhere udp dpt:25444

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.2.0/24 anywhere ctstate NEW
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:25444
ACCEPT tcp -- Charly.Server anywhere tcp spt:25444
ACCEPT udp -- Charly.Server anywhere udp spt:25444
ACCEPT tcp -- anywhere Charly.Server tcp dpt:25444

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[wanne]

Ich kapiers einfach nicht...
Vielleicht hilft ein Bild weiter.
Ich verstehe das mal so:

Code: Alles auswählen

{Internet}--Heimrouter--{WLAN}--(wlan0)Debian6(eth0)--{Switch}--Windows7

Heimrouter:
Verteilt mit DHCP-Server das Netz 192.168.1.0/24
Hat IP 192.168.1.1/24
Bekommt per DHCP-Client IP vom Provider

Debian6 wlan0:
Bekommt IP per DHCP-Client aus dem Netz 192.168.1.0/24

Debian6 eth0:
Feste Adresse 192.168.1.4/24

Windows7
???

Ich hätte ganz gerne die Ausgabe vom Debian Rechner.
Ich glaube das ist exakter wie deine Beschreibung. (Und eventuell auch richtiger.)

Code: Alles auswählen

ip a
ip r
iptables -t nat -S

Und ganz wichtig die ausgabe von

Code: Alles auswählen

ipconfig

Auf dem Windows Rechner.

Was mir auf jeden Fall mal auffällt ist:
Der Sinn von IP-Adressen ist, dass es sie einmal gibt. 192.168.1.4 gibt es bei dir doppelt => Eher schlecht.

[wanne]

Vor allem: Was nutzt du im Moment zum konfigurieren von deinem Netzwerk?
Und wo ist der Client der auf dem Windows-Rechner spielen will?
Und achso: iptables brauchst du bei eigentlich nicht. (Was nicht heißt, dass man es nicht auch mit iptables machen kann.)

[dufty2]

Vermutlich sind's nur zwei Typos:

... angeschlossen ist das IntRAnet verteilt ...

eth0:
adresse 192.168.2.4

[DieKrabbe]

Also es ist so angeschlossen:

http://nopaste.debianforum.de/38143

Ich kann auch Fotos machen wen ihr wollt.
Achja und Ich mache es mit dem Gnome Network Manager und IPtables.

[DieKrabbe]

ip a

http://nopaste.debianforum.de/38139

[DieKrabbe]

ip r

http://nopaste.debianforum.de/38140

[DieKrabbe]

iptables -t nat -S


http://nopaste.debianforum.de/38141

[DieKrabbe]

ifconfig

http://nopaste.debianforum.de/38142

[wanne]

So OK, Ich glaube jetzt blicke ich durch.
Was jetzt noch fehlt ist, wo der Client steht, der auf den Server auf den Windows Rechner zugreift. Und die ausgabe von ipconfig vom Windows.


Aber wie ich das sehe willst du wahrscheinlich folgendes machen:

• Du guckst dass die IP 192.168.1.4 für den DEBIAN7 fest bleibt. Du kannst das am einfachsten indem du das im HeimRouter einstellst. Da kann man meist einer MAC-Adresse eine IP zuordnen.
• Du gehst in den HeimRouter und suchst da nach statische route hinzufügen. Und fügst da für das
  netz: 192.168.2.0/24 (/24 steht für Netzmaske 255.255.255.0) den nächsten Hop 192.168.1.4 hinzu
• Du schmeist deine ganzen iptables-Regeln weg
• Du guckst dass in /proc/sys/net/ipv4/ip_forward eine 1 steht. Also entweder einmalig

  Code: Alles auswählen

  echo 1 > /proc/sys/net/ipv4/ip_forward

  Damit das nach dem Hochfahren auch so bleibt schreibts du in die /etc/sysctl.conf das:

  Code: Alles auswählen

  net.ipv4.ip_forward = 1

• Falls du vom Internet aus zugreifen willst tellst den port 25444 im Heimrouter auf die IP vom Windows-Rchner (192.168.2.2:25444)

Aus dem LAN kannst du dann einfach auf den Spieleserver mit 192.168.2.2:25444 zugrefen. Vom Internet aus mit der externen IP:25444

[eggy]

Sag mal: warum überall Policy ACCEPT?
(Ich befürchte da läuft was anders als Du erwartest)

[dufty2]

[*]Du gehst in den HeimRouter und suchst da nach statische route hinzufügen. Und fügst da für das
netz: 192.168.2.0/24 (/24 steht für Netzmaske 255.255.255.0) den nächsten Hop 192.168.1.4 hinzu

[*]Du guckst dass in /proc/sys/net/ipv4/ip_forward eine 1 steht. Also entweder einmalig

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

Genau das will man ja nicht haben, denn nun ist dem Heimrouter das 192.168.2er bekannt und bei einer "feindlichen Übernahme" dessen kann jener direkt zugreifen aufs 2er.

[dufty2]

Sag mal: warum überall Policy ACCEPT?
(Ich befürchte da läuft was anders als Du erwartest)

Man implementiert hier eine "Quasi-Firewall", da man ein "NAT Router" hat (solange man das Routing (/proc/sys/net/ipv4/ip_forward=1) selbst nicht erlaubt) und keinen "richtigen" Router.

[wanne]

Will man ja nicht haben, denn nun ist dem Heimrouter das 192.168.2er bekannt und bei einer "feindlichen Übernahme" dessen kann jener direkt zugreifen aufs 2er.

Sorry aber NAT ist kein Sicherheitsfeature...
Bei aktueller konfiguration wenn man den Heimrouter übernommen hat:

Code: Alles auswählen

route r a 129.168.3.0/24 via 192.168.1.4
nmap -sU -S 192.168.2.3 -p 1234 192.168.3.3 -g 3210
route r d 129.168.3.0/24 via 192.168.1.4
ip a a 192.168.3.3/24

Und schon kann ich mit 192.168.2.3 auf port 1234 reden. (Von dem Port, wo das Paket wider bei mir ankommt aus.) Aber ich kann das natürlich auch mit jeder andern Port-Kombination machen. Der Port bei dem das ankommt ist im übrigen sogar vorhersehbar. Ich kann also direkt meien Gewünschten port freigeben. Ich würde aber eher den sourceport von dem Programm, dass ich nutze manipulieren.

Wenn das ganze wirklich als sicherheisfeature geedacht ist, dann fängt das damit an:

Code: Alles auswählen

iptables -A FORWARD -i wlan0 -o eth0 -j REJECT

oder mit der default regel DROP.
Und dann kann da auch routing an sein.

[dufty2]

Sorry aber NAT ist kein Sicherheitsfeature...
Bei aktueller konfiguration wenn man den Heimrouter übernommen hat:

Code: Alles auswählen

route r a 129.168.3.0/24 via 192.168.1.4
nmap -sU -S 192.168.2.3 -p 1234 192.168.3.3 -g 3210
route r d 129.168.3.0/24 via 192.168.1.4
ip a a 192.168.3.3/24

Und schon kann ich mit 192.168.2.3 auf port 1234 reden.

Der 192.168.1.4 routet (derzeit) nicht und daher sollte Dein "192.168.3.x"-Trick nicht klappen (hab's jetzt nicht überprüft).

[wanne]

Der 192.168.1.4 routet (derzeit) nicht

Der routet nicht. Muss er aber gar nicht. Das paket loopt einfach über wlan0 ohne je in die Routing tabelle zu kommen: Oh, ich habe ein Paket von 192.168.2.3. Das muss ich NATen! (PREROUTING ist vor dem routing.) geben wir ihm den Port 7890 und schicken es in's Internet.
=> Neuer ANT-Eintrag für die Verbindung 192.168.3.3:7890<->192.168.2.3:123
Das Paket kommt zwar nie auf der Windows maschiene an. Aber die die folgen.

Man kann das natürlich unterbinden, indem man testet, ob die Pakete wirklich zu eth0 reinkommen. Oder typischereist für TCP (und das geht eben nur für TCP, deswegen habe ich UDP gewählt.) SYN ohne ACK von wlan0 rausschmeißen. Aber das kann man genausogut mit gerouteten Paketen statt nur mit den genateten tun.
Ob man an die Regel jetzt -I FORWARD oder -t nat -j MASQURADE dran schreibt ist ziemlich wurst.

Ich bleibe dabei. Wenn er da was mit sicherheit machen will, dann können wir ihm gut ne saubere Firewall aufbauen. Dazu braucht es aber kein NAT. Das ganze erschwert es eher. Weil man damit verdammt böse tricks machen kann.

[dufty2]

Das paket loopt einfach über wlan0 ohne je in die Routing tabelle zu kommen: Oh, ich habe ein Paket von 192.168.2.3. Das muss ich NATen! (PREROUTING ist vor dem routing.) geben wir ihm den Port 7890 und schicken es in's Internet.

Nö, ich lese da nur
-P PREROUTING ACCEPT
nix von NATen.

NATen kommt nach dem Routing, denn
-A POSTROUTING -o wlan0 -j MASQUERADE

=> also sollte es _nicht_ klappen.

Theoretisch

[wanne]

also sollte es _nicht_ klappen.

Ja. Deswegen klappt aber auch der normale Verbindungsaufbau nicht. Da muss ein PREROUTING-nat rein. (Oder eben ein ip_forward) Sonst funktioniert das so nicht.

[DieKrabbe]

Ich möchte das über wlan0 das Internet reinkommt und über eth0 weitergeleitet wird den möchte ich noch das man Ports feigeschalten kann.

[DieKrabbe]

Achja die IP 192.168.1.4 ist fest und 192.168.2.3 auch.

Ich würde es gerne mit euch auf Skype klären.

[wanne]

Ich möchte das über wlan0 das Internet reinkommt und über eth0 weitergeleitet wird.

Hab ich mir doch gedacht. Genau das passiert. Bei meiner Erklärung. dufty2 Hat nur gemein, dass du irgend welche Firewalls aufbauen willst.

[DieKrabbe]

ich wollte sagen das ich meinen Linux Server aufgeben musste was ich schade finde aber ich bedanke mich trotzdem für eure vielen antworten ich werde mich wieder diesem Forum zu wenden wen ich einen server habe