Tor Relay - Port umleiten - Port 80/443 freigeben

[debianix]

Hi! Ich möchte das ein Tor-Relay über Port 80 und 443 erreichbar ist.

Nun eine Frage zur Konfiguration.

Wenn ich mit iptables einen Port dauerhaft umleiten möchte, z.B.:

Code: Alles auswählen

ORPort 4321
DirPort 5555

Sind dann folgende Zeilen korrekt?

Code: Alles auswählen

iptables -t nat -A PREROUTING -d localhost -p tcp --dport 443 -j REDIRECT --to-ports 4321
iptables -t nat -A PREROUTING -d localhost -p tcp --dport 80 -j REDIRECT --to-ports 5555 

Ich habe aber nichts auf Port 80 und 443 am laufen > hier lauscht also kein Dienst.

Wie aktiviere ich diese Ports jetzt?

Folgendes hat leider nicht funktioniert:

Code: Alles auswählen

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 4430-j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 4430-j ACCEPT 

Danke für eure Hilfe

[wanne]

Code: Alles auswählen

ORPort 4321
DirPort 5555

Das reicht so nicht ganz hier ein Beispiel aus der Beispielkonfiguration:

Code: Alles auswählen

ORPort 443
## in ORPort (e.g. to advertise 443 but bind to 9090), uncomment the
## below too. You'll need to do ipchains or other port forwarding yourself
## to make this work
ORListenAddress 0.0.0.0:4321
DirPort 80 # what port to advertise for directory connections
## in DirPort (e.g. to advertise 80 but bind to 9091), uncomment the line
## line below too. You'll need to do ipchains or other port forwarding
## yourself to make this work.
DirListenAddress 0.0.0.0:5555

Du musst sagen, wo er zu finden ist. In deiner konfiguration würde einfach schlicht port 4321 und 5555 benutzt.

[wanne]

Achso und localhost funktionier nicht. Das wird zu 127.0.0.1 aufgelößt. Du musst da schon deine eigene IP nehmen. Weil bevor da geroutet wird, ist die Adresse eben nicht die eigene IP von außen und nicht 127.0.0.1

Code: Alles auswählen

iptables -t nat -A PREROUTING -d [IP VON AUßEN]-p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9091

[debianix]

Hey wanne DANKE für die info - probiere ich gleich aus.

Wenn alles klappt würde ich dir iptables-regeln gerne abspeichern.

Ist folgende Vorgehensweise korrekt?

Ich installiere "iptables-persistent".

Anschließend speichere ich meine Regeln mit "iptables-save > /etc/iptables/rules.v4"

Aber hat das Auswirkungen auf fail2ban? Muss ich fail2ban vorher beenden oder speichert "iptables-save > /etc/iptables/rules.v4" nur die Regeln die ich "manuell" zuvor eingegeben habe?

Danke und noch einen schönen Samstag!

Tipp: Bringt die Sonne auch bei diesem be*** Wetter in euer Büro : Aly & Fila mit FSOE (auf soundcloud)

[wanne]

Ich kann das nicht mit sicherheit sagen (ich habe iptables persistent nicht gekannt als ich mit meiner Firewall angefangen habe und was eigenes gescriptet.): Aber ich glaube, du musst die beiden Regeln direkt in die /etc/iptables/rules.v4 schreiben und die anderen regeln die fail2bananlegt rausschmeißen.
Achtung: Iptables persistent will nur die Regel ohne den Befehl iptables und die tabelle als überschrift also:

Code: Alles auswählen

*nat
-A PREROUTING -d [IP VON AUßEN]-p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9091
-A PREROUTING -d [IP VON AUßEN]-p tcp -m tcp --dport 443 -j REDIRECT --to-ports 9090
COMMIT

Achso: Ich habe bei mir den -d weggelassen. Was an meinem Rechner ankommt ist typischerweise auch für den bestimmt.

[debianix]

Ja genauso wie du es beschreibst steht es jetzt in der "/etc/iptables/rules.v4" (automatisch korrekt) drin - aber leider funktioniert es nicht.

Ich sehe beim Aufruf der IP auch nicht meine DirPortFrontPage...

Folgendes steht in der torrc:

Code: Alles auswählen

ORPort 443 NoListen
ORPort 127.0.0.1:9901 NoAdvertise

DirPort 80 NoListen
DirPort 127.0.0.1:9931 NoAdvertise

Und das in der "/etc/iptables/rules.v4":

Code: Alles auswählen

-A PREROUTING -d ipvonaußen/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9931
-A PREROUTING -d ipvonaußen/32 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 9901

Was mache ich falsch?