IPTABLES - PORT FORWARDING

[Valdez]

also ich habe debian sid und nutze den rechner als einen router via iptables

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward



die frage ist aber wie ich ports weiterleiten kann ? z.b. für soundstreaming ?

vielen dank im voraus

[DynaBlaster]

iptables -t nat -A PREROUTING -i eth0 p tcp --dport 80 -j DNAT --to 192.168.1.10:80
iptabels -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d 192.168.1.10 -j ACCEPT

Die erste Zeile macht das gleiche wie deine POSTROUTING-Zeile - nur genau anders herum. Pakete, die auf dem Router an eth0 ankommen und den Zielport TCP 80 haben, werden so manipuliert, dass sie als Ziel-IP 192.168.1.10 haben und als Ziel-Port TCP 80. Im zweiten Schritt musst du natürlich auch diesen Traffic durch die FORWARD-Chain lassen. Die zweite Zeile macht genau dieses, nämlich Traffic von eth0 nach eth1 passieren lassen, allerdings nur, wenn die Bedingungen Zielport TCP 80 und und Ziel-IP 192.168.1.10 erfüllt sind, aber dafür haben wir ja in zeile eins gesorgt

[Valdez]

danke

ich hab inzwischen meinen pc neu aufgesetzt und werds heut gleich probieren am abend



thx nochmal
lg faruk

[omgwtfbbq]

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

weitaus besser und fehlerfreier:

Code: Alles auswählen

#!/bin/bash
case $1 in
start)
sysctl -w net/ipv4/ip_forward=1
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --sport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.10:80
;;
stop)
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUPUT ACCEPT
iptables -P FORWARD ACCEPT
sysctl -w net/ipv4/ip_forward=0
;;
esac
exit 0

liesse sich jetz natürlich beliebig erweitern und verbessern, generell gilt: je spezifischer deine Regeln, desto besser bist du geschützt. Allerdings muss man bei steigender Spezifizierung auch iptables besser verstehen. Oben genanntes Script bitte mit Vorsicht geniessen, ich hab das mal eben ohne Tests aus dem Ärmel geschüttelt, aber prinzipiell sollte es so oder so ähnlich weitaus besser funktionieren, zumal du nicht einfach alles zulässt - das ist auch die primäre Funktion eines Routers, alles andere ist nur sinnlos und Stromverschwendung.

das hier ist eine exzellente "Anleitung" für iptables, wenn du dort alles durch hast verstehst du auch mein Script - wie gesagt: ich weiss nicht ob es 100%ig funktioniert, aber der Gedanke kommt auf jeden Fall rüber

der nächste Schritt (nach dem Verstehen von iptables und dem erstellen eigener Regeln) wäre die Verkleinerung des Kernels (Entfernung von nutzlosem Müll), Entfernung aller unnötigen Pakete (mit "--purge"!), stoppen aller nicht notwendigen Dienste und letztendlich auch die Verfeinerung der Router-Sicherheit, zb. durch das Public/Private - Key-Verfahren von SSH und so weiter und so fort ...

[Valdez]

jungs ihr seid klasse )
es funkt wirklich ...

ich komme immer wieder drauf das ich mich einfach mehr trauen sollte )

thx nochmal, hab total die freud dank eurer hilfe

lg faruk