Hi,
Ich habe folgendes Problem(was nicht umbedinngt was mit debian zutun hat):
ich habe hier bei mir einen Rooter (mit linux) stehen den ich per ssh fernbedienen kann. (mit nat) und einen server (debian) mit web ftp und ssh (eventuell kommt noch was hinzu). ich habe beim Rooter den Webserver von port 80 auf 1080 und den ssh von 22 auf 1022 gelegt. nun möchte vom port 22 vom rooter (öffentliche ip (dynamisch) Interface ppp) auf das lokale Netzwerk nach 192.168.2.33 umleiten, und die Pakete sollen natürlich dann auch wider zurück kommen. das gleiche sol mit port 80 passieren. hat jemand ne Idee wie sich dies machen lässt??
danke
treaki
Portweiterleitung
Portweiterleitung
Code: Alles auswählen
|_|0|_|
|_|_|0|
|0|0|0|E-Mail: treaki@treaki.tk oder treaki@gmail.com
-
stinkstiefel
- Beiträge: 382
- Registriert: 13.06.2008 12:05:24
Re: Portweiterleitung
Hat diese Änderung einen sinnvollen Grund?treaki hat geschrieben:ich habe beim Rooter den Webserver von port 80 auf 1080 und den ssh von 22 auf 1022 gelegt.
Edit: Ah ja beim zweiten mal lesen habe ich es verstanden, die Änderung wurde gemacht um auch per ssh oder http auf den Router zugreifen zu können. Beim Router braucht es jetzt also nur noch ein Forwarding für 22 und 80 auf die IP 192.168.2.33.
Code: Alles auswählen
#Forwarding für ssh an 192.168.2.33
iptables -A FORWARD -p tcp -d 192.168.2.33 --dport 22 -j ACCEPT
iptables -A PREROUTING -t nat -i $IF_INET -p tcp --dport 22 -j DNAT --to 192.168.2.33
Zuletzt geändert von stinkstiefel am 03.09.2008 11:51:33, insgesamt 2-mal geändert.
Re: Portweiterleitung
Kannst du vielleicht mal den ganzen Aufbau skizzieren?
Etwa so:
Rechner <--> Internet <--> Router (mit linux; was für eine Distribution?) <--> Server (debian mit ssh und http)
Ist der Router auch für die Verbindung ins Internet zuständig oder hast du davor noch ein Gerät hängen?
Wenn nicht, kannst du über iptables alles von den gewünschten Ports auf eine Ziel-IP (die des Servers) und einen anderen Port weiterleiten. Wobei das Weiterleiten dann eigentlich keinen Sinn mehr macht (meiner Meinung nach).
Du könntest besser schon die geänderten Ports, und nur die, auf dem Router freischalten und diese dann an den Server weiterleiten. Dann brauchst du eigentlich die Ports auch nicht mehr zu ändern.
Etwa so:
Rechner <--> Internet <--> Router (mit linux; was für eine Distribution?) <--> Server (debian mit ssh und http)
Ist der Router auch für die Verbindung ins Internet zuständig oder hast du davor noch ein Gerät hängen?
Wenn nicht, kannst du über iptables alles von den gewünschten Ports auf eine Ziel-IP (die des Servers) und einen anderen Port weiterleiten. Wobei das Weiterleiten dann eigentlich keinen Sinn mehr macht (meiner Meinung nach).
Du könntest besser schon die geänderten Ports, und nur die, auf dem Router freischalten und diese dann an den Server weiterleiten. Dann brauchst du eigentlich die Ports auch nicht mehr zu ändern.
Oh, yeah!
Re: Portweiterleitung
Code: Alles auswählen
Verbindung per pppoe w-/lan
Internet <----------------------------------> Rooter mit linux wlan/lan <-------------> Debian Server und andere Rechner über LANCode: Alles auswählen
|_|0|_|
|_|_|0|
|0|0|0|E-Mail: treaki@treaki.tk oder treaki@gmail.com
Re: Portweiterleitung
Hi,
Sorry stinkstiefel ich hab das da einfach nur so hin gekritzelt, der erste Befehl wird geschluckt, der zweite allerdings mit
quittiert. er schluckt es ohne "-i $IF_INET" allerdings funktionirt die weiterleitung dann immer noch nicht.
Hier einmal die ausgaben mit -list:
treaki
Sorry stinkstiefel ich hab das da einfach nur so hin gekritzelt, der erste Befehl wird geschluckt, der zweite allerdings mit
Code: Alles auswählen
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Hier einmal die ausgaben mit -list:
Code: Alles auswählen
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:5060
REMOTE_ACCESS tcp -- anywhere anywhere tcp dpt:https
SIP_ALLOW all -- anywhere anywhere
DOS all -- anywhere anywhere
SPI all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpts:1863:1864
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT tcp -- anywhere anywhere tcp dpt:5190
ACCEPT tcp -- anywhere anywhere tcp dpt:5566
ACCEPT tcp -- anywhere anywhere tcp dpts:40000:40099
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
DOS all -- anywhere anywhere
DMZ all -- anywhere anywhere
VRTSRV all -- anywhere anywhere
SPI all -- anywhere anywhere
ACCEPT all -- 0.0.0.0 anywhere
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DMZ (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain DOS (2 references)
target prot opt source destination
dos_ping_of_death icmp -- anywhere anywhere icmp echo-request
dos_fragments all -f anywhere anywhere
dos_ripdefect udp -- anywhere anywhere udp dpt:route
dos_ipspoof all -- anywhere anywhere
RETURN tcp -- anywhere anywhere limit: avg 200/sec burst 250 tcp flags:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN LOG level emerg prefix `"Echo::debugA'
DROP tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
RETURN tcp -- anywhere anywhere limit: avg 200/sec burst 250 tcp flags:FIN,SYN,RST,ACK/RST
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST LOG level emerg prefix `"Echo::debugB'
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain REMOTE_ACCESS (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain SIP_ALLOW (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:5060
ACCEPT udp -- anywhere anywhere udp dpts:16384:16400
RETURN all -- anywhere anywhere
Chain SPI (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -f anywhere anywhere
DROP tcp -- anywhere anywhere
DROP udp -- anywhere anywhere
DROP all -- anywhere anywhere
Chain URLFILTER (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain VRTSRV (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.2.33 tcp dpt:ssh
ACCEPT tcp -- anywhere 192.168.2.33 tcp dpt:www
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain dos_fragments (1 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level emerg prefix `"Echo::debug'
DROP all -- anywhere anywhere
Chain dos_ipspoof (1 references)
target prot opt source destination
LOG all -- 255.255.255.255 0.0.0.0 LOG level emerg prefix `"Echo::debug'
DROP all -- 255.255.255.255 0.0.0.0
LOG all -- 240.0.0.0/4 anywhere LOG level emerg prefix `"Echo::debug'
DROP all -- 224.0.0.0/4 anywhere
LOG !udp -- anywhere 240.0.0.0/4 LOG level emerg prefix `"Echo::debug'
DROP !udp -- anywhere 240.0.0.0/4
LOG all -- 240.0.0.0/5 anywhere LOG level emerg prefix `"Echo::debug'
DROP all -- 240.0.0.0/5 anywhere
RETURN all -- anywhere anywhere
Chain dos_ping_of_death (1 references)
target prot opt source destination
DROP all -- anywhere anywhere limit: avg 1/sec burst 5
LOG all -- anywhere anywhere LOG level emerg prefix `"Echo::pingofdeath--->"'
DROP all -- anywhere anywhere
Chain dos_ripdefect (1 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:route
# Code: Alles auswählen
|_|0|_|
|_|_|0|
|0|0|0|E-Mail: treaki@treaki.tk oder treaki@gmail.com
-
stinkstiefel
- Beiträge: 382
- Registriert: 13.06.2008 12:05:24
Re: Portweiterleitung
"$IF_INET" steht für das Interface des Routers das die Internetverbindung herstellt.