IP-Tables Frage

[sunghost]

hallo,

wie muß die Regel heißen wenn ich,

FTP 20:21 von außen (internet) erreichbar und über den debian router ins interne netz an den ftp server weiterleiten (forwarden) will?

versuch sah so aus:

iptables - A INPUT -i $Extern -p TCP --dport 20:21 -j ACCEPT

iptables -A FORWARD -i $Extern -p TP -dport 20:21 -d 192.168.x.x -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

wie müßte es richtig heißen?

Vielen Dank

[SleipniR]

iptables -A FORWARD -i $Extern -p TP -dport 20:21 -d 192.168.x.x -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Sehe ich es richtig, daß Dein FTP-Server nur eine private IP-Adresse hat? Dann funktioniert das so nicht.

Du mußt Network Address Translation (genauer gesagt DNAT) benutzen, damit die Zieladresse der Pakete vom Router auf die des Servers umgeschrieben wird.

Als Zielport sollte die 21 reichen, denn die Datenverbindung vom FTP-Server erkennt iptables als RELATED und läßt sie durch.

Doku gibt's z.B. hier: Iptables-tutorial


CU
SleipniR

[sunghost]

erstaml danke,
nur igendwie funktioniert es noch nicht. habe es nu so geschrieben:

iptables -t nat -A PREROUTING -d $IFCACE_EXTERN -p TCP --dport 21 -j DNAT --to-destination 192.168.0.1

wo ist der fehler?

danke

[knecht]

Code: Alles auswählen

iptables -A FORWARD -i ppp0 -o eth0 -p tcp -m multiport --dport 22,25,2800 -d 192.168.0.6 -j ACCEPT 
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 22,25,2800 -j DNAT --to 192.168.0.6

so funktioniert es bei mir (im Beispiel für tcp, bei udp einfach -p udp)

ansonsten für Portbereiche geht bei mir auch nicht, also nur mit --dport 20:25
http://www.debianforum.de/forum/viewtop ... 229#202229

[sunghost]

erstmal danke knecht,

einen fehler vom script bekomme ich nun nicht, aber es funkt noch nicht.

wenn ich nmap localhost eingebe sind die ports 20:21 nicht offen
und auch von extern kann nicht conn werden. muß da evtl. noch ein output rein? und brauche ich ppp0?

danke

[knecht]

Entschuldige, ich hab Input und Output vertauscht, es muß so heißen:

Code: Alles auswählen

iptables -A FORWARD -i ppp0 -o eth0 -p tcp -m multiport --dport 22,25,2800 -d 192.168.0.6 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m multiport --dport 22,25,2800 -j DNAT --to 192.168.0.6

was sagt dir dann ein cat /proc/net/ip_conntrack ?

[sunghost]

irgendwie funkt es immer noch nicht. so sehen die regeln für mein ftp aus:

Code: Alles auswählen

iptables -A INPUT -p TCP -i $IFACE_INTERN --dport 20:21 -j ACCEPT
iptables -A INPUT -p TCP -i $IFACE_EXTERN --dport 20:21 -j ACCEPT

iptables -A FORWARD -o $IFACE_EXTERN -p tcp -m multiport --dport 21 -d 192.168.0.1 -j ACCEPT
iptables -t nat -A PREROUTING -i $IFACE_EXTERN -p tcp --dport 21 -j DNAT --to 192.168.0.1

wenm ich cat /proc/net/ip_conntrack eingebe, dann rennt das bild nur so.

momentan erhalte ich also gar kein connect von außen.