weiterleitung von ports mit iptables geht NICHT | mit nc ja

[Babelduo]

hallo. ich habe meinem debian-sarge-rechner als router konfiguriert
und habe mit vmware einen win2k rechner emuliert.

nun möchte ich bei dem win2k server (der über den debian rechner ins nets geht)
einen service auf z.b: 2222 starten.

nun muss ich ja alle anfragen von aussen auf port 2222 weiterleiten... dazu
habe ich das hier gefunden:

Code: Alles auswählen

#hier wird gesagt das port 2222 nach aussen darf...
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 2222 -j ACCEPT

#hier sollte eigentlich alles was auf 2222 kommt an den vmware-win2k rechner geleitet werden
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 2222 -j DNAT --to 192.168.0.11:2222

nur man ahnt es schon, es funktioniert nicht

was habe ich falsch gemacht oder was muss ich noch machen?

thx, Babel

p.s: mein routing script habe ich mir von einem generator generieren lassen...
werde mich nun weiter mit iptables und netzwerk beschäftigen um mein eigendes
zu schreiben.

hier mal mein script:
http://mitglied.lycos.de/total/route

[mistersixt]

Grundsätzlich: damit Du mal was im Logfile siehst, solltest Du vielleicht mal vor(!) dieser Zeile hier:

Code: Alles auswählen

iptables -A MY_DROP -j DROP

noch diese Zeile einfügen:

Code: Alles auswählen

iptables -A MY_DROP -j LOG

Dann wird ein abgewiesenes Packet nicht nur einfach weggeschmissen, sondern vorher noch in /var/log/syslog geschrieben. So kannst Du dann sehen, ob und wo ein Paket weggeschmissen wurde.

Deine FORWARD und OUTPUT scheint ziemlich "dicht" zu sein, was ja im Prinzip natürlich nicht falsch ist, aber ich vermute, da klemmt es mit Deinem Port-Forwarding, wirst Du hoffentlich mit den Logmeldungen sehen.

Gruss, mistersixt.

[Babelduo]

ne leider nicht! ich sehe nichts in den logs...

so siehts nun aus:

Code: Alles auswählen

...
# MY_DROP-Chain
iptables -A MY_DROP -j LOG
iptables -N MY_DROP
iptables -A MY_DROP -j DROP
...

aber wird leider nichts angezeigt :-/ aber müsste es denn eigentlich mit diesen beiden
zeilen hier gehen: ?

Code: Alles auswählen

#hier wird gesagt das port 2222 nach aussen darf...
iptables -A INPUT -i ppp0 -m state --state NEW -p tcp --dport 2222 -j ACCEPT

#hier sollte eigentlich alles was auf 2222 kommt an den vmware-win2k rechner geleitet werden
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 2222 -j DNAT --to 192.168.0.11:2222

woran kannn es dann noch liegen?
thx schonmal!

[Antikeloides]

Hallöchen,

bevor Du den Port weiterleiten kannst, musst Du erlauben,
dass überhaupt "geforwardet" werden darf.

Code: Alles auswählen

# forwarding erlauben
 iptables -A FORWARD -i ppp0  -d 192.168.0.11 -j ACCEPT

# hier sollte eigentlich alles was auf 2222 kommt an den vmware-win2k rechner geleitet werden
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 2222 -j DNAT --to 192.168.0.11:2222

Greetz....
Michel

[Babelduo]

hmm ok danke!

aber braucht man eigentlich alles was da so drin steht?

hab nun das hier gefunden es scheint mir auszureichen...

http://www.debianforum.de/wiki/?page=in ... bianmanier


werde mich mal ein wenig damit beschäftigen! danke!

[Babelduo]

hmm aber irgendwas kann doch nicht stimmten!

ich habe nun komplett das script von
http://www.debianforum.de/wiki/?page=in ... bianmanier

übernommen... aber das weiterleiten eines prort klappt immernoch nicht! hab dort
natürlich die richtigen ips eingretragen etc...

also mein richtiges debian system steht als router da, und mein emuliertes
windows 2000 system benutzt diesen router als gateway. internet klappt auch perfekt!

aber wenn ich am emulierten win2k rechner z.b: mit nc einfach nur den port 21 öffne
kann man von aussen nicht auf diesen port zugreifen. wenn allerdings mein debian rechner
den port 21 öffnet klappt alles von aussen perfekt!

also muss es noch am weiterleiten liegen?

ich hoffe ihr könnte mit sagen was ich genau machen oder beachten muss...

danke!

babelduo

p.s: an vmware kann es doch nicht liegen oder?

[DynaBlaster]

Wer emuliert denn dein Win2000. Der Router selbst oder ein anderer PC ? Welches OS läuft auf dem "emulierenden" PC (wenn es der Router ist, Linux - logisch). Ist vielleicht ne Firewall auf diesem 2. PC schuld ?

[Babelduo]

also ich habe einen rechner!
auf diesem rechner ist debian sarge installiert, und unter diesem system
emuliere ich mit vmware einen 2ten rechner wo win2k drauf ist.

mein debian routet und zwar mit hilfe des scripts von:
http://www.debianforum.de/wiki/?page=in ... bianmanier

das routen klappt auch perfekt aber das weiterleiten eines port auf den emulierten
win2k rechner klappt nicht!

auf dem win2k rechner sind keinerlei firewalleinstellungen vorgenommen worden.

das wundert mich halt ein bischen... oder ist ein fehler im script?

danke, Babelduo

p.s: im script habe ich natürlich alles angepasst!

[Babelduo]

es müsste doch alles klappen oder?

also wenn ich dann im emuliertem win2k system den port 21 öffne
und auf eine verbindung warte, müsste man doch von aussen connecten können!
das klappt leider nicht :-/

übers locale netzwerk kann ich problemlos connecten, also muss es wohl am
weiterleiten liegen.

weis denn einer ob dieses script überhaupt funktioniert?
oder kann mir jemand mal sein script geben das bei ihm klappt?

danke!

[Babelduo]

also nun verstehe ich garnichts mehr :-/

ich habe mir nun nocheinmal ein router-iptables-script erstellen lassen
und zwar von
http://www.harry.homelinux.org/modules. ... _Generator

habe auch angegeben das er den port 2222 weiterleiten soll.... im script sieht es
dann so aus:

Code: Alles auswählen

    # NAT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.11
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 2222 -j SNAT --to-source 192.168.0.13
    iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.11 --dport 2222 -j ACCEPT

aber es klappt einfach nicht :-/


wenn ich mittelst

Code: Alles auswählen

nc --tunnel=192.168.0.11:2222 -p 2222

eine anfrage von aussen auf port 2222 weiterleite klappt es perfekt!


also mir würde es mit nc auch schon reichen... nur kann ich es dort auch irgendwie
einstellen das nicht nur eine verbindung weitergeleitet werden kann?


aber es ist doch schon komisch das es mit dem scripten nicht klappt oder?

danke, Babelduo

[LessWire]

Ich habe zwar keine Erfahrungen mit vmware, aber jede emulation hat gerade bei so systemspezifischen dingen wie portforwarding einschränkungen. grundsätzlich würde ich erst real eine konfiguration testen, um dann diese innerhalb einer emulation zu testen. andernfalls finde ich die gefahr einfach zu gross, zuviel zeit für ein ggf. nicht erreichbares ziel aufzuwenden.

vg. L.W.

[Babelduo]

naja - also mit iptables ging es nicht

mit nc geht es probeweise...

und mit rinetd klappt es nun perfekt!


also trotzdem danke!

thx

Babel