Portforwarding mit firewall

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Portforwarding mit firewall

Beitrag von malteklein » 08.04.2008 11:56:25

Hallo Leute,

bisher wurden meine Probleme schon von anderen gefrag und geloest.
Nun habe ich schon seit 4 Tagen das Problem kein Portforwarding in die Gaenge zu bekommen.

Ich will ganz einfach, dass jemand der sich vom Internet aus auf Port 1883 verbindet
an einen anderen server im Netz weitergeleitet wird.

Der server hat die IP 10.0.0.10
Der REchner mit dem Serverprogramm dass auf 1833 laeuft hat die ip 10.0.0.23.
Das Lan interfache ist eth3
das interface dass mit dem Internetz verbunden ist, ist eth4 und hat den virtuellen adapter ppp0 mit der IP 212.221.158.1

Alle normalen einstellungen funktionieren nicht, das liegt anscheinend an den DROP Eintraegen.

Wie schalte ich nun Portforwarding ein ohne gefaehliche Nebenwirkungen hervorzurufen?


Hier ist meine aktuelle IPtable

Code: Alles auswählen

localhost:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere
LOG        0    --  loopback/8           anywhere            LOG level warning
DROP       0    --  loopback/8           anywhere
ACCEPT     0    --  anywhere             255.255.255.255
ACCEPT     0    --  10.0.0.0/8           anywhere
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
LOG        0    --  10.0.0.0/8           anywhere            LOG level warning
DROP       0    --  10.0.0.0/8           anywhere
ACCEPT     0    --  anywhere             255.255.255.255
ACCEPT     0    --  anywhere             212.221.158.1
LOG        0    --  anywhere             anywhere            LOG level warning
DROP       0    --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  10.0.0.0/8           anywhere
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTAB
LISHED
LOG        0    --  anywhere             10.0.0.0/8          LOG level warning
DROP       0    --  anywhere             10.0.0.0/8
LOG        0    --  anywhere             anywhere            LOG level warning
DROP       0    --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             255.255.255.255
ACCEPT     0    --  anywhere             10.0.0.0/8
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
LOG        0    --  anywhere             10.0.0.0/8          LOG level warning
DROP       0    --  anywhere             10.0.0.0/8
ACCEPT     0    --  anywhere             255.255.255.255
ACCEPT     0    --  212.221.158.1       anywhere
LOG        0    --  anywhere             anywhere            LOG level warning
DROP       0    --  anywhere             anywhere

Ich habe es zwar geschafft von einem localen PC aus mich ueber die internet ip mit dem Serverprogramm zu verbinden,
aber von aussen ging es leider nicht.
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 08.04.2008 17:18:26

also die Ausgabe von "iptables -L" hilft ( mir ) hier wenig, diese zeigt ja nicht einmal die Interfaces an, für die eine Regel gültig ist. "iptables -vL" oder "iptables -nvL" wäre da besser.

Die PREROUTING Regeln könnten auch noch interessant sein, also bitte auch die Ausgabe von "iptables -t nat -nvL PREROUTING".

Gruß
gms

edit: Deine Internet-Adresse solltest du eventuell maskieren
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 08.04.2008 18:09:40

Super, da erkennt man doch gleich, dass du ein Profi bist!

Hier die Ausgaben:

Code: Alles auswählen

iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 30369 packets, 1987K bytes)
 pkts bytes target     prot opt in     out     source               destination 
localhost:~# iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 30369 packets, 1987K bytes)
 pkts bytes target     prot opt in     out     source               destination

Code: Alles auswählen

iptables -vL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3939 2125K ACCEPT     0    --  lo     any     anywhere             anywhere
    0     0 LOG        0    --  !lo    any     loopback/8           anywhere            LOG level warning
    0     0 DROP       0    --  !lo    any     loopback/8           anywhere
   10  3280 ACCEPT     0    --  eth3   any     anywhere             255.255.255.255
 408K   66M ACCEPT     0    --  eth3   any     10.0.0.0/8           anywhere
    0     0 ACCEPT    !tcp  --  eth3   any     anywhere             BASE-ADDRESS.MCAST.NET/4
    2    96 LOG        0    --  ppp0   any     10.0.0.0/8           anywhere            LOG level warning
    2    96 DROP       0    --  ppp0   any     10.0.0.0/8           anywhere
    0     0 ACCEPT     0    --  ppp0   any     anywhere             255.255.255.255
50095   22M ACCEPT     0    --  ppp0   any     anywhere             212.221.158.1
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
1099K   56M ACCEPT     0    --  eth3   ppp0    10.0.0.0/8           anywhere
1341K 1958M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3975 2146K ACCEPT     0    --  any    lo      anywhere             anywhere
    0     0 ACCEPT     0    --  any    eth3    anywhere             255.255.255.255
 428K  183M ACCEPT     0    --  any    eth3    anywhere             10.0.0.0/8
    0     0 ACCEPT    !tcp  --  any    eth3    anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
    0     0 ACCEPT     0    --  any    ppp0    anywhere             255.255.255.255
52456 6792K ACCEPT     0    --  any    ppp0    212.221.158.1       anywhere
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere
Nach oben
roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: Portforwarding mit firewall

Beitrag von roli » 08.04.2008 18:14:08

Hi,

mit folgenden Regeln leite ich auf meinem Gateway z.B. den Traffic der auf eth0 Port 1194 ankommt an einen anderen Server weiter:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 1194 -j DNAT --to 10.10.31.8:1194
Ich hoffe das ich nichts uebersehen habe
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 08.04.2008 18:20:37

Ah....das ist interessent,
es scheint relativ vollstaendig zu sein.

Muss nicht noch eine ACCEPT-Regel ins Spiel gebracht werden?
Weil doch bei INPUT ein DROP ist...

Ist meine Annahme richtig, dass eth0 bei mir eth4 sein muss(das Interface ueber das ich ins Internetz gehe).
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 08.04.2008 19:33:35

malteklein hat geschrieben: Muss nicht noch eine ACCEPT-Regel ins Spiel gebracht werden?
Weil doch bei INPUT ein DROP ist...
durch die PREROUTING Regel gelangt das Paket nicht in die INPUT Verarbeitungskette, sondern wird in die FORWARD-Kette umgeleitet. Daher muß dann in der FORWARD-Kette das Paket akzeptiert werden, nicht jedoch in der INPUT-Kette
malteklein hat geschrieben: Ist meine Annahme richtig, dass eth0 bei mir eth4 sein muss(das Interface ueber das ich ins Internetz gehe).
ja
edit: ähm, unter der Annahme, daß du über eth4 ins Internet gehst ja, du gehst aber eigentlich über ppp0 ins Internet
Gruß
gms

edit: habe mir jetzt die Regeln von "roli" angeschaut, da scheint sich ein Fehler eingeschlichen zu haben
Diese Regel steht vermutlich in der FORWARD Chain:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1194 -j ACCEPT
nochmal edit:
@malteklein
sehr viel filtert deine Firewall noch nicht :wink:

Code: Alles auswählen

50095   22M ACCEPT     0    --  ppp0   any     anywhere             <deine ip>
52456 6792K ACCEPT     0    --  any    ppp0    <deine ip>         anywhere
und du hast deine IP nicht maskiert, so wie ich in diesem Beispiel :wink:
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 03:49:06

Es geht immer noch nicht.
Ich nehme an, man muss einige DROP befehle rausnehmen, ist das richtig?

P.S. Welche IP habe ich nicht maskiert? Was hat das fuer Vorteile?
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 04:49:22

Es treten Meldungen auf:
in=eth3 out=eth3 src=10.0.0.24 dest=10.0.0.23

Es scheint so, als wollte er durchrouten aber aufgrund irgendeiner Regel wird die Anweisung gedroppt.
Nach oben
roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: Portforwarding mit firewall

Beitrag von roli » 09.04.2008 09:53:09

Hi,
gms hat geschrieben:edit: habe mir jetzt die Regeln von "roli" angeschaut, da scheint sich ein Fehler eingeschlichen zu haben
Diese Regel steht vermutlich in der FORWARD Chain:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1194 -j ACCEPT
ich habe gerade noch mal nachgesehen, so wie's da steht, also INPUT ist die Regel eingebaut.
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 10:36:02

Nach der Input Regel ist die Message verschwunden, aber es es geht immer noch nicht.

Ich habe immer noch die Vermutung dass es an irgendeinen Drop-Befehl liegt.

Code: Alles auswählen

localhost:/home/red# iptables -vL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1284 2174K ACCEPT     0    --  lo     any     anywhere             anywhere
    0     0 LOG        0    --  !lo    any     loopback/8           anywhere            LOG level warning
    0     0 DROP       0    --  !lo    any     loopback/8           anywhere
   98 16280 ACCEPT     0    --  eth3   any     anywhere             255.255.255.255
 801K   88M ACCEPT     0    --  eth3   any     10.0.0.0/8           anywhere
    0     0 ACCEPT    !tcp  --  eth3   any     anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        0    --  ppp0   any     10.0.0.0/8           anywhere            LOG level warning
    0     0 DROP       0    --  ppp0   any     10.0.0.0/8           anywhere
    0     0 ACCEPT     0    --  ppp0   any     anywhere             255.255.255.255
18213   12M ACCEPT     0    --  ppp0   any     anywhere             116.52.82.2
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  eth3   any     anywhere             anywhere            state NEW tcp dpt:2688
    0     0 ACCEPT     tcp  --  eth4   any     anywhere             anywhere            state NEW tcp dpt:2688

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 859K 1127M ACCEPT     0    --  eth3   ppp0    10.0.0.0/8           anywhere
 620K   74M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1378 2228K ACCEPT     0    --  any    lo      anywhere             anywhere
    0     0 ACCEPT     0    --  any    eth3    anywhere             255.255.255.255
1064K 1197M ACCEPT     0    --  any    eth3    anywhere             10.0.0.0/8
    0     0 ACCEPT    !tcp  --  any    eth3    anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
    0     0 ACCEPT     0    --  any    ppp0    anywhere             255.255.255.255
17973 2135K ACCEPT     0    --  any    ppp0    116.52.82.2          anywhere
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere
Zuletzt geändert von malteklein am 09.04.2008 11:34:02, insgesamt 1-mal geändert.
Nach oben
roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: Portforwarding mit firewall

Beitrag von roli » 09.04.2008 11:00:30

Hi,

du hast fuer die Ketten DROP als default eingestellt. Ersetze das mal (Kette fuer Kette) vorübergehend durch ein ACCEPT, und schau mal was dann geht.
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Nach oben
Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: Portforwarding mit firewall

Beitrag von Duff » 09.04.2008 11:07:17

Also ich habe bei mir noch sowas hier eingebaut, damit ich im Logfile /var/log/syslog was sehen kann.

Code: Alles auswählen

echo "Initialisere Firewall ..."
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -Z
iptables -N MYDROP
iptables -N MYACCEPT

#
# Die restlichen Regeln
#

# Logging aller verbleibender Pakete
iptables -A INPUT -j LOG --log-prefix "FW-LAST-DROP:"
iptables -A OUTPUT -j LOG --log-prefix "FW-LAST-DROP:"
iptables -A FORWARD -j LOG --log-prefix "FW-LAST-DROP:"
Damit der Rechner auch routen kann, sollte du noch sowas eintragen:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
Oh, yeah!
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 09.04.2008 11:18:06

roli hat geschrieben:Hi,
gms hat geschrieben:edit: habe mir jetzt die Regeln von "roli" angeschaut, da scheint sich ein Fehler eingeschlichen zu haben
Diese Regel steht vermutlich in der FORWARD Chain:

Code: Alles auswählen

iptables -A INPUT -m state --state NEW -i eth0 -p tcp --dport 1194 -j ACCEPT
ich habe gerade noch mal nachgesehen, so wie's da steht, also INPUT ist die Regel eingebaut.
und in der Forwad Chain gibt es kein ACCEPT für State NEW ?
malteklein hat geschrieben: Ich habe immer noch die Vermutung dass es an irgendeinen Drop-Befehl liegt.
das könntest du ja einfach an den Counters in der Ausgabe von "iptables -nvL" feststellen, in obiger Ausgabe siehst du daher, daß kein Paket gedroppt wurde
malteklein hat geschrieben: P.S. Welche IP habe ich nicht maskiert? Was hat das fuer Vorteile?
DEINE IP. Diese ist jetzt allgemein bekannt. Jetzt wissen alle, wie du "erreichbar" bist, wie dein Netzwerk aufgebaut ist, daß du gerade an deiner Firewall herumbastelst, daß diese überhaupt nichts blockiert, was von draußen reinkommt, daß du als Netzwerk-Admin zumindest unter Linux ein Newbie bist, welchen Provider du verwendest,... Eine freundlichere Einladung an alle Cracker dieser Welt kann man ja kaum aussprechen

Gruß
gms
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 11:26:29

DEINE IP. Diese ist jetzt allgemein bekannt. Jetzt wissen alle, wie du "erreichbar" bist, wie dein Netzwerk aufgebaut ist, daß du gerade an deiner Firewall herumbastelst, daß diese überhaupt nichts blockiert, was von draußen reinkommt, daß du als Netzwerk-Admin zumindest unter Linux ein Newbie bist, welchen Provider du verwendest,... Eine freundlichere Einladung an alle Cracker dieser Welt kann man ja kaum aussprechen
Wo ist denn das Problem? Ich habe einen Athlon X2 64-bits 2,2GHz, wenn ein Cracker meine REssourcen mitbenutzen mag, habe ich nichts dagegen einzuwenden.


In der Syslog wird kein DROP angezeigt.

Was nun?
Zuletzt geändert von malteklein am 09.04.2008 11:30:12, insgesamt 1-mal geändert.
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 11:28:23

Was mich auch schon seit geraumer Zeit wundert ist, warum Pakete an's loopback gedroppt werden.
Hat jemand eine Ahnugn was das fuer einen Sinn hat?
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 09.04.2008 11:36:11

malteklein hat geschrieben:
DEINE IP. Diese ist jetzt allgemein bekannt. Jetzt wissen alle, wie du "erreichbar" bist, wie dein Netzwerk aufgebaut ist, daß du gerade an deiner Firewall herumbastelst, daß diese überhaupt nichts blockiert, was von draußen reinkommt, daß du als Netzwerk-Admin zumindest unter Linux ein Newbie bist, welchen Provider du verwendest,... Eine freundlichere Einladung an alle Cracker dieser Welt kann man ja kaum aussprechen
Wo ist denn das Problem? Ich habe einen Athlon X2 64-bits 2,2GHz, wenn ein Cracker meine REssourcen mitbenutzen mag, habe ich nichts dagegen einzuwenden.
wenn du kein Problem damit hast, ich habe sicher keines damit
wozu dann überhaupt die Firewall, macht doch nur Probleme :wink:
Nach oben
roli
Beiträge: 3174
Registriert: 10.09.2003 17:39:58

Re: Portforwarding mit firewall

Beitrag von roli » 09.04.2008 11:58:07

gms hat geschrieben:und in der Forwad Chain gibt es kein ACCEPT für State NEW ?
Nein, nur für "ESTABLISHED,RELATED"
Roland


"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: Portforwarding mit firewall

Beitrag von DynaBlaster » 09.04.2008 12:07:28

Eigentlich sollte das hier als zusätzliche Regeln reichen, vorrausgesetzt 10.0.0.23 wird von 10.0.0.10 geroutet und genattet:

Code: Alles auswählen

iptables -A FORWARD -i ppp0 -o eth3 -p TCP --dport 1833 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 1833 -j DNAT --to 10.0.0.23:1833
Poste doch mal bitte dein ganzes Script.
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 12:09:21

so ich habe noch einmal alles von Vorne eingestellt.

Jetzt kommt wieder die MEldung IN=eth3 OUT=eth3 SRC=10.0.0.33 DEST=10.0.0.23 LEN=48 = TOS=0x00 ....

es heisst also dass das nicht forwardet wird, sehe ich das richtig?
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 12:15:00

DynaBlaster hat geschrieben:Eigentlich sollte das hier als zusätzliche Regeln reichen, vorrausgesetzt 10.0.0.23 wird von 10.0.0.10 geroutet und genattet:

Code: Alles auswählen

iptables -A FORWARD -i ppp0 -o eth3 -p TCP --dport 1833 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p TCP --dport 1833 -j DNAT --to 10.0.0.23:1833
Poste doch mal bitte dein ganzes Script.
Genau das habe ich auch schon gemacht, es erscheint aber nur diese komische in=eth3 out=eth3 message.

Wenn ich alle dopbefehle entferne geht es, aber wenn ich alle DROP-Anweisungen rausnehme werde ich von morgens bis abends penetriert, das ist doch nicht so schoen.

Koennte es sein, dass die Anweisung "DROP from anywere to anywere" einzelne Allows von z.B. eth3 nach 10.0.0.23 ignoiert?
Anders kann ich mir das nicht erklaeren...
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 09.04.2008 12:23:28

malteklein hat geschrieben: 1099K 56M ACCEPT 0 -- eth3 ppp0 10.0.0.0/8 anywhere
1341K 1958M ACCEPT 0 -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 LOG 0 -- any ppp0 anywhere 10.0.0.0/8 LOG level warning
0 0 DROP 0 -- any ppp0 anywhere 10.0.0.0/8
0 0 LOG 0 -- any any anywhere anywhere LOG level warning
0 0 DROP 0 -- any any anywhere anywhere
[/code]
in der Forward Kette fehlt das ACCEPT für State == NEW von ppp0 nach eth3 mit dem Port den du forwardest
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 12:31:44

Ich glaube wir sind ein Schritt weiter.

Forward chain:
DROP 0 -- anywhere 10.0.0.0/8

Daher auch die Message
IN=eth3 OUT=eth3 SRC=10.0.0.24 DST=10.0.0.23 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31156 DF PROTO=TCP SPT=1986 DPT=1833 WINDOW=65535 RES=0x00 SYN URGP=0

Obowhl ich mich mit meine internet IP verbinde merkt er dass die Pakte von mir sind,
dass heisst, es gibt 2 Probleme.

Einmal dass weiterleiten von localen clienten auf 10.0.0.10:1833 auf 10.0.0.23:1833

Es waere also ueberlgenswert ersteinmal das Forwarden von localen rechnern in die Gaenge zu bringen,
dann duerfte das andere von automatisch gehen.
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 12:35:24

gms hat geschrieben:
malteklein hat geschrieben: 1099K 56M ACCEPT 0 -- eth3 ppp0 10.0.0.0/8 anywhere
1341K 1958M ACCEPT 0 -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 LOG 0 -- any ppp0 anywhere 10.0.0.0/8 LOG level warning
0 0 DROP 0 -- any ppp0 anywhere 10.0.0.0/8
0 0 LOG 0 -- any any anywhere anywhere LOG level warning
0 0 DROP 0 -- any any anywhere anywhere
[/code]
in der Forward Kette fehlt das ACCEPT für State == NEW von ppp0 nach eth3 mit dem Port den du forwardest
wenn du
iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
geimeint hast, so habe ich den Befehl just ausgefuehrt und es treten immer noch die messages auf.
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Re: Portforwarding mit firewall

Beitrag von gms » 09.04.2008 12:56:53

malteklein hat geschrieben:
gms hat geschrieben:
malteklein hat geschrieben: 1099K 56M ACCEPT 0 -- eth3 ppp0 10.0.0.0/8 anywhere
1341K 1958M ACCEPT 0 -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 LOG 0 -- any ppp0 anywhere 10.0.0.0/8 LOG level warning
0 0 DROP 0 -- any ppp0 anywhere 10.0.0.0/8
0 0 LOG 0 -- any any anywhere anywhere LOG level warning
0 0 DROP 0 -- any any anywhere anywhere
[/code]
in der Forward Kette fehlt das ACCEPT für State == NEW von ppp0 nach eth3 mit dem Port den du forwardest
wenn du
iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
geimeint hast, so habe ich den Befehl just ausgefuehrt und es treten immer noch die messages auf.
es ist für mich irgendwie nicht nachvollziehbar, welche Regeln bei dir welche Fehlermeldungen auslösen
jetzt hast du zwar das NEW von ppp0 auf eth3 hinzugefügt, dafür hast du diese Regel

Code: Alles auswählen

1341K 1958M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
anscheinend rausgenommen und durch diese ersetzt:

Code: Alles auswählen

iptables -A FORWARD -i eth3 -o eth3 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
oder nicht ? Wie gesagt es wäre für uns leichter, wenn wir einen konsistenten Stand der Regeln mit den zugehörigen Fehlermeldungen bekommen könnten

Gruß
gms
Nach oben
malteklein
Beiträge: 71
Registriert: 08.04.2008 11:46:02

Re: Portforwarding mit firewall

Beitrag von malteklein » 09.04.2008 13:29:26

Okay hier noch mal meine table...

Code: Alles auswählen


iptables -vL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2578 5631K ACCEPT     0    --  lo     any     anywhere             anywhere
    0     0 LOG        0    --  !lo    any     loopback/8           anywhere            LOG level warning
    0     0 DROP       0    --  !lo    any     loopback/8           anywhere
  196 32560 ACCEPT     0    --  eth3   any     anywhere             255.255.255.255
1194K  192M ACCEPT     0    --  eth3   any     10.0.0.0/8           anywhere
    0     0 ACCEPT    !tcp  --  eth3   any     anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        0    --  ppp0   any     10.0.0.0/8           anywhere            LOG level warning
    0     0 DROP       0    --  ppp0   any     10.0.0.0/8           anywhere
    0     0 ACCEPT     0    --  ppp0   any     anywhere             255.255.255.255
37604   24M ACCEPT     0    --  ppp0   any     anywhere             116.52.82.2
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  eth3   any     anywhere             anywhere            state NEW tcp dpt:2688
    0     0 ACCEPT     tcp  --  eth4   any     anywhere             anywhere            state NEW tcp dpt:2688
    0     0 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            state NEW tcp dpt:2688
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning prefix `FW-LAST-DROP:'
    0     0 ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 947K 1159M ACCEPT     0    --  eth3   ppp0    10.0.0.0/8           anywhere
 697K  155M ACCEPT     0    --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
  178  8544 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
  178  8544 DROP       0    --  any    any     anywhere             anywhere
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning prefix `FW-LAST-DROP:'
    0     0 ACCEPT     tcp  --  eth4   any     anywhere             anywhere            state NEW tcp dpt:2668
    0     0 ACCEPT     0    --  ppp0   eth3    anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  eth3   eth3    anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth3   eth3    anywhere             10.0.0.23           tcp dpt:2668
    0     0 ACCEPT     tcp  --  ppp0   eth3    anywhere             10.0.0.23           tcp dpt:2668
    0     0 ACCEPT     tcp  --  ppp0   eth3    anywhere             anywhere            tcp dpt:2688
    0     0 ACCEPT     0    --  ppp0   eth3    anywhere             anywhere            state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  eth3   eth3    anywhere             anywhere            state NEW,RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2686 5693K ACCEPT     0    --  any    lo      anywhere             anywhere
    0     0 ACCEPT     0    --  any    eth3    anywhere             255.255.255.255
1464K 1497M ACCEPT     0    --  any    eth3    anywhere             10.0.0.0/8
    0     0 ACCEPT    !tcp  --  any    eth3    anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        0    --  any    ppp0    anywhere             10.0.0.0/8          LOG level warning
    0     0 DROP       0    --  any    ppp0    anywhere             10.0.0.0/8
    0     0 ACCEPT     0    --  any    ppp0    anywhere             255.255.255.255
38750 5161K ACCEPT     0    --  any    ppp0    116.52.82.2          anywhere
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       0    --  any    any     anywhere             anywhere
    0     0 LOG        0    --  any    any     anywhere             anywhere            LOG level warning prefix `FW-LAST-DROP:'

Chain MYACCEPT (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain MYDROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
Nach oben
Antworten

Zurück zu „Netzwerk“