[erledigt] iptables-Regel benötigt

[GregorS]

Nachtrag: Der Tipp von MSFree war offensichtlich echt gut. Im Access-Log erscheinen jetzt zumindest Anfragen (die anscheinend alte Lücken auszunutzen versuchen).

Hallo allerseits!

Ich habe zeitweise ein vermutlich nicht so häufig anzutreffendes Setup, das ich unter http://test.szaktilla.de/gsz-xx-setup.png skizziert habe: Zwischen meinem „Hauptrechner“ (mimi) und dem bösen Internet gibt es einen RPi, der via Dyn-DNS von außen erreichbar ist. Dass der RPi erreichbar ist, habe ich auf dem Router konfiguriert und getestet. Der Router macht dabei ein „Port-Forwarding“, d. h. er leitet alle Anfragen, die auf Port 80 (http) eintreffen, an den RPi weiter.

Nun möchte ich den Webserver (apache2) jedoch nicht auf dem RPi haben, sondern auf einer virtuellen (qemu-) Maschine, die auf „mimi“ läuft. Der RPi muss seinerseits also die auf Port 80 ankommenden Pakete erneut weiterreichen. Die iptables-Zeile, die ich hierfür eingerichtet habe, tut jedoch nicht das, was ich möchte:

Code: Alles auswählen

iptables -t nat -A PREROUTING --proto tcp --dport 80 -d 192.168.0.2 -j DNAT --to-destination 192.168.214.2

Kann mir jemand sagen, wie die Zeile korrekt lauten muss? Und kann darüber hinaus jemand eine gute Doku zu iptables empfehlen? Ich würde mein (Halb-) Wissen, das ich mir bislang aus unterschiedlichsten Fragmenten zusammengestückelt habe, gerne auf eine „ordentliche“ Basis stellen.

Vielen Dank vorweg!

Gregor

Nachtrag: Die Ausgabe von „iptables -L -t nat“:

Code: Alles auswählen

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             192.168.0.2          tcp dpt:http to:192.168.214.2

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  localnet/24          anywhere            
MASQUERADE  all  --  192.168.0.0/24       localnet/24         
MASQUERADE  all  --  192.168.0.0/24       anywhere            
MASQUERADE  all  --  192.168.0.0/24       192.168.0.0/24      

[/color]

[MSfree]

Code: Alles auswählen

iptables -t nat -A PREROUTING --proto tcp --dport 80 -d 192.168.0.2 -j DNAT --to-destination 192.168.214.2

Ich würde

Code: Alles auswählen

iptables -t nat -A PREROUTING  -i ethX -p tcp -d 192.168.0.2 --dport 80 -j DNAT --to-destination 192.168.214.2:80

schreiben.

Und kann darüber hinaus jemand eine gute Doku zu iptables empfehlen?

[/quote]
http://www.netfilter.org/

[GregorS]

Und kann darüber hinaus jemand eine gute Doku zu iptables empfehlen?

http://www.netfilter.org/

Shit, darauf hätte ich wirklich selbst kommen können.

Danke!

Gregor

[eggy]

Kannst Du den Webserver vom PI aus erreichen?
z.B. per wget/curl

[GregorS]

Kannst Du den Webserver vom PI aus erreichen?
z.B. per wget/curl

Ja:

Code: Alles auswählen

gszaktilla@pi3 /tmp $ wget www.gsz.xx
--2015-11-04 14:58:30--  http://www.gsz.xx/
Auflösen des Hostnamen »www.gsz.xx (www.gsz.xx)«... 192.168.214.2
Verbindungsaufbau zu www.gsz.xx (www.gsz.xx)|192.168.214.2|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 81 [text/html]
In »»index.html«« speichern.

100%[======================================>] 81          --.-K/s   in 0s      

2015-11-04 14:58:30 (942 KB/s) - »»index.html«« gespeichert [81/81]

Gruß

Gregor

[rendegast]

Alternative vielleicht
nginx als http-Proxy auf dem Pi?
http://nginx.org/en/#basic_http_features