Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
-
vash123
- Beiträge: 8
- Registriert: 05.05.2006 08:22:44
Beitrag
von vash123 » 05.05.2006 13:22:54
hallo,
hab folgendes probleme mit meiner firewall. es geht darum das ein proxy nach aussen geschaltet ist der gewisse ports durchleitet zu einem client der sich über vpn am router einwählt und die daten liefert.
d.h.
z. B. Port 103 auf 192.168.2.123:103
Code: Alles auswählen
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:103 to:192.168.2.123:103
DNAT tcp -- anywhere anywhere tcp dpt:3573 to:192.168.2.123:3573
DNAT tcp -- anywhere anywhere tcp dpt:3673 to:192.168.2.123:3673
DNAT tcp -- anywhere anywhere tcp dpt:4573 to:192.168.2.123:4573
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- anywhere 192.168.2.123 tcp dpt:103 to:83.64.180.35
SNAT tcp -- anywhere 192.168.2.123 tcp dpt:3573 to:83.64.180.35
SNAT tcp -- anywhere 192.168.2.123 tcp dpt:3673 to:83.64.180.35
SNAT tcp -- anywhere 192.168.2.123 tcp dpt:4573 to:83.64.180.35
welchen fehler könnte ich gemacht haben?
danke im vorraus
-
vash123
- Beiträge: 8
- Registriert: 05.05.2006 08:22:44
Beitrag
von vash123 » 06.05.2006 13:33:27
keiner eine idee?
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Beitrag
von Savar » 06.05.2006 13:46:26
Was klappt denn exakt nicht? Und liegt die Firewall auf dem Proxy oder wo?
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 06.05.2006 14:47:15
Hallo,
DNAT tcp -- anywhere anywhere tcp dpt:103 to:192.168.2.123:103
damit wirfst Du doch auch das, was aus 192.168.2.123 kommt nach 192.168.2.123 zurück.
Ich denke an einen Eintrag '-s !192.168.2.123'
_
-
vash123
- Beiträge: 8
- Registriert: 05.05.2006 08:22:44
Beitrag
von vash123 » 07.05.2006 02:05:33
Savar hat geschrieben:Was klappt denn exakt nicht? Und liegt die Firewall auf dem Proxy oder wo?
ja firewall liegt auf dem proxy, weil die hardware firewall die ports nur zum proxy weiterleitet. atm macht das ne windows kiste (proxy)... aber die macht mir zuviel kummmer
das funkt dann halt so das die "seite mit" proxyip:103 eine website anzeigen sollen (daten von der vpn verbindung)
rendegast hat geschrieben:Hallo,
DNAT tcp -- anywhere anywhere tcp dpt:103 to:192.168.2.123:103
damit wirfst Du doch auch das, was aus 192.168.2.123 kommt nach 192.168.2.123 zurück.
Ich denke an einen Eintrag '-s !192.168.2.123'
_
ic ... hab die regeln mit der eval von fwbuilder erzeugt ... ich hab die regel eigentlich nur in die richtung der 192er ip erzeugt ...
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 07.05.2006 06:19:56
vash123 hat geschrieben:hab die regeln mit der eval von fwbuilder erzeugt
hindert Dich ja nicht daran, das im nachhinein zu "korrigieren".
-
vash123
- Beiträge: 8
- Registriert: 05.05.2006 08:22:44
Beitrag
von vash123 » 07.05.2006 12:39:40
rendegast hat geschrieben:vash123 hat geschrieben:hab die regeln mit der eval von fwbuilder erzeugt
hindert Dich ja nicht daran, das im nachhinein zu "korrigieren".
ja schon klar, würds nicht einfach reichen die regel zu löschen??
-
rendegast
- Beiträge: 15041
- Registriert: 27.02.2006 16:50:33
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von rendegast » 07.05.2006 14:54:51
Wenn Deine Clients sich an die richtige Adresse richten, ja.
Eine DROP-Anweisung stattdessen wäre aber angebracht: was an die VPN-Ports aber nicht an die VPN-Adresse geht, um keine VPN-Info nach aussen zu routen.
Das solltest Du eine Weile mitloggen.
-
vash123
- Beiträge: 8
- Registriert: 05.05.2006 08:22:44
Beitrag
von vash123 » 07.05.2006 21:12:53
thx. werd ich morgen gleich probieren.
wäre vielleicht die einfache lösung gewesen den rinetd zu verwenden? oder gibts da einschränkungen?
