Broadcastpakete weiterleiten

[dirigent]

Hallo,

ich habe ein Problem mit einer TK-Anlagensoftware namens MyTPA.
Das Problem ist, dass die Clientsoftware den Server per Broadcast-Anfrage auf UDP-Port 51870 sucht und der Server im anderen Subnetz ist.
Nun habe ich versucht das Brodcast-Paket im Router mit
iptables -t nat -A PREROUTING -p UDP --dport 51870 -j DNAT --to 192.168.1.33:51870
zum Server zu leiten, aber irgendwie geht das nicht.
Warum geht das nicht?

[mistersixt]

Füge mal eine Regel davor ein mit Logausgabe, dann siehst Du, ob die Regel auch wirklich "greift":

Code: Alles auswählen

iptables -t nat -A PREROUTING -p UDP --dport 51870 -j LOG --log-prefix 'UDP TEST'

Wenn Du nix im syslog siehst, dann solltest Du mal vorher mitlauschen, wie die Pakete wirklich aussehen, die da durchs LAN rauschen:

Code: Alles auswählen

tcpdump udp port 51870

Gruss, mistersixt.

PS: Bleibt die Frage, was die Tk-Anlage macht, wenn da so ein Paket anschwirrt ... zurückbroadcasten?

[dirigent]

tcpdump bringt:
19:28:14.703555 IP meineIP.51871 > 192.168.100.255.51870: UDP, length: 47
Beim Server kommt leider kein Paket an, auf welches er antworten könnte. Ping funktioniert natürlich und die Ports sind nicht geblockt.

[mistersixt]

Siehst Du denn, dass die Regel funktioniert, wenn Du den Log (siehe mein erstes Posting) vorher setzt? Dann solltest Du in syslog sehen, ob die Regel greift oder nicht.

Gruss, mistersixt.

[dirigent]

Im syslog steht
Sep 5 20:41:00 debian kernel: UDP TESTIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:ea:7c:51:08:34 SRC=192.168.100.4 DST=192.168.100.255 LEN=75 TOS=0x00 PREC=0x00 TTL=128 ID=38069 PROTO=UDP SPT=51871 DPT=51870 LEN=55
sieht so aus, als ob die Regel nicht greift.

Gruß Jens

[chroiss]

kann man broadcast wirklich routen ?!

hmmm

naja , egal .. die iptables regel würde ich aber eher so aufsetzen

Code: Alles auswählen

$IPTABLES -t nat -A PREROUTING -i $einkommende_nic -p udp --dport 51870  -j DNAT --to-dest 192.168.1.33

gruss chroiss

[dirigent]

Nach vielen Versuchen und mit den vorgeschlagenen Lösungsansätzen, ist die Weiterleitung von Broadcast-Paketen nicht erfolgreich gewesen.
Ich habe mich jetzt darauf beschränkt, einen Broadcast-Ping im eigenen Netz umzuleiten.

iptables -A INPUT -p ICMP --icmp-type 8 -j LOG --log-prefix "ICMP_ "
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
iptables -A PREROUTING -t nat -p ICMP --icmp-type 8 -j DNAT --to 192.168.100.2

Wenn ich die Router-IP anpinge leitet er auch brav den Ping um. Der Broadcast-Ping wird nicht weitergeleitet und auch nicht beantwortet.
Wird die PREROUTING-Regel auskommentiert, antwortet der Router auch auf den Broadcast-Ping.
Ich habe auch
iptables -A PREROUTING -t nat -m pkttype --pkt-type broadcast -j DNAT --to 192.168.100.2
vesucht, mit gleichem (Miss)-Erfolg.
Langsam frage ich mich, ob iptables das richtige Werkzeug dazu ist, da ein Broadcast-Ping ja eigentlich im Layer2 an die MAC FF:FF:FF:FF:FF:FF gerichtet wird.

[CrazyKiller]

Broadcasts routen ist nicht so ohne weiteres möglich, da Router prinzipiell keine Broadcast-Pakete weiterleiten. Darin liegt ja auch unter anderem der Grund, warum man sie einsetzt.

Für DHCP, was ja auch über Broadcasts funktioniert gibt es sogenannte Relay Agents, die man auf dem Router installiert, damit die entsprechenden Broadcast weitergeleitet werden, da man sonst in jedem Subnetz einen DHCP-Server bräuchte.

Ich weiß leider ncht, ob es sowas auch als generelles Tool für alle möglichen Broadcasts gibt. Hab ich noch nie von gehört, aber das muss ja nichts heißen. Je nachdem, wenn du einen DHCP Relay-Agent findest, bei dem du die entsprechenden Ports umkonfigurieren kannst, könntest du ihn aber vielleicht zweckentfremden. Keine Ahnung, ob das wirklich geht, weil ich in der Praxis damit noch nie gearbeitet habe, aber einen Versuch wäre es vielleicht wert.