iptables Regel löschen & alle Anfragen weiterleiten

[physixx]

Hallo,

ich habe eine kurze Frage. Und zwar geht es um das Routing mit iptables.
Ich lege folgende Regel an:

Code: Alles auswählen

iptables -A INPUT -i eth0 -p tcp -j ACCEPT
iptables -t nat -A PREROUTING -t nat -p tcp -d 192.168.0.5 -j DNAT --to 192.168.0.6
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Mein Problem ist es nun, die Regel zu überschreiben oder zu löschen.
Ich möchte dann beispielsweise die IP Adresse 192.168.0.5 nicht mehr an 192.168.0.6 routen, sondern an 192.168.0.7.

Habt ihr eine Ahnung, wie ich das realisieren kann, ohne den Router zu rebooten?

Vielen Dank

Viele Grüße,
Kevin

[nepos]

Da hättest du nur mal in die Man-Page zu iptables reinschauen müssen:

-D, --delete chain rule-specification
-D, --delete chain rulenum
Delete one or more rules from the selected chain. There are two versions of this command: the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match.

Sprich, löschen kannst du die Regel z.B. so:

Code: Alles auswählen

iptables -t nat -D PREROUTING -p tcp -d 192.168.0.5 -j DNAT --to 192.168.0.6

Alternativ ginge es auch über die Nummer der Regel. Die kriegst du so raus:

Code: Alles auswählen

iptables -t nat -L -vn --line-numbers

Wenn die Regel die Nummer 5 hat, löscht du sie so:

Code: Alles auswählen

iptables -t nat -D PREROUTING 5

Soweit ich dich verstehe möchtest du die Regel aber gar nicht löschen, sondern nur anpassen. Das kannst du mit der Option -R erreichen. Sagen wir mal, die zu ändernde Regel hat die Nummer 3:

Code: Alles auswählen

iptables -t nat -R PREROUTING 5 -p tcp -d 192.168.0.5 -j DNAT --to 192.168.0.7

Btw, du hast in deiner PREROUTING-Regel 2x -t nat drin.

[physixx]

Hi,

vielen Dank für deine schnelle Antwort.
Klappt perfekt!

Liebe Grüße,
Kevin

[physixx]

Hätte nochmal eine Frage.

auf 192.168.0.6 läuft ein Webserver. In den Logs des Webservers wird allerdings bei jedem Zugriff nur die IP 192.168.0.5
angezeigt. Wie kann ich das Routing so einstellen, sodass komplett alle Anfragen auf 192.168.0.6 weitergeleitet werden und in den Logs die "echte" IP des Users steht.

Bedanke mich erneut für eure Hilfe!

Viele Grüße,
Kevin

[physixx]

Weiß keiner eine Lösung?

[Danielx]

Wie kann ich das Routing so einstellen, sodass komplett alle Anfragen auf 192.168.0.6 weitergeleitet werden und in den Logs die "echte" IP des Users steht.

Du verwendest ein SNAT (MASQUERADE), d.h. die ursprüngliche Quell-Adresse eines Paketes, welches über diesen Rechner (*) geroutet wird und über das Interface eth0 raus geht, wird durch die Adresse des Rechners (*), ersetzt.

Du müsstest also mit Routing-Tabellen (siehe "man route") arbeiten und nicht die Adressen maskieren.

(*) Der Rechner, auf dem die MASQUERADE-iptables-Regel eingerichtet wurde.

Gruß,
Daniel

[physixx]

Danke für deine Antwort!
Also müsste ich das praktisch über route add... machen, oder?
Aber was muss bei Gateway hin?

Viele Grüße,
Kevin

Edit: Hat sich geklärt

[physixx]

Funktioniert die Nutzung von route add auch mit einer Öffentlichen IP?

[Danielx]

Ja, kommt allerdings darauf an, wie du das genau meinst.

Gruß,
Daniel