Re: H.323 ü b e r Gatekeeper/Proxy
Hallo Goran, Goran Ristic <[EMAIL PROTECTED]> on Thu, Oct 03, 2002 at 09:06:38PM +0200: > > > |> > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) > |> > |> Wobei - wie aus der ersten Mail in diesem Thread, die aber schon > |> länger her ist, hervorgeht - das ja eigentlich vermieden werden > |> soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. > > Sorry. - Ich hatte die nicht mehr im Kopf. > Es sollte aber ohne prerouting gehen. Was sagen denn die Logs dazu? Ich les mich langsam in iptables ein ... ohne PREROUTING geht auf jeden Fall kein Port-Forwarding. Die Frage ist, ob es auch ohne gehen sollte. Der interessante Abschnitt der rc.firewall, wie im IP-Masquerading-HOWTO beschrieben: echo " clearing any existing rules and setting default policy.." $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F echo " FWD: Allow all connections OUT and only existing and related ones IN" $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE Im syslog: Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT: ip_nat_core.c:839 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_conntrack_core.c:94 &ip_conntrack_lock readlocked D.C. ad inf. Kann es sein, daß ich mich mal an die netfilter-ML wenden sollte? mfg Christian msg20393/pgp0.pgp Description: PGP signature
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian! |> > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) |> |> Wobei - wie aus der ersten Mail in diesem Thread, die aber schon |> länger her ist, hervorgeht - das ja eigentlich vermieden werden |> soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. Sorry. - Ich hatte die nicht mehr im Kopf. Es sollte aber ohne prerouting gehen. Was sagen denn die Logs dazu? -- regards, gr. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo Goran,
Goran Ristic <[EMAIL PROTECTED]> on Thu, Oct 03, 2002 at 08:18:37AM +0200:
>
>
> |> > Hast Du mal versucht, per iptable-regeln ein forward von Port 1720 auf
> |> > den Client zu legen?
> |>
> |> Nein. Muß mal iptables richtig lernen. Du hast nicht die passenden
> |> Rules parat?
>
> Hmmm...aus'm Kopp:
> ${IPTABLES} -A PREROUTING -t nat -p TCP -d ${pub} --dport 1720 -j DNAT --to \
> ${client-ip}:1720
>
> ${pub} und ${client-ip} natürlich richtig ersetzen.
> Wenn das nicht reicht, musst Du wohl jeden Port umleiten.
> (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?)
Wobei - wie aus der ersten Mail in diesem Thread, die aber schon
länger her ist, hervorgeht - das ja eigentlich vermieden werden
soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen.
mfg
Christian
msg20337/pgp0.pgp
Description: PGP signature
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian!
|> > Hast Du mal versucht, per iptable-regeln ein forward von Port 1720 auf
|> > den Client zu legen?
|>
|> Nein. Muß mal iptables richtig lernen. Du hast nicht die passenden
|> Rules parat?
Hmmm...aus'm Kopp:
${IPTABLES} -A PREROUTING -t nat -p TCP -d ${pub} --dport 1720 -j DNAT --to \
${client-ip}:1720
${pub} und ${client-ip} natürlich richtig ersetzen.
Wenn das nicht reicht, musst Du wohl jeden Port umleiten.
(Wobei es hier im Grunde auch ohne das PREROUTING geht. (?)
|> > Und hast Du in Deiner FW auch die entsprechenden Ports frei gemacht?
|> > 3:30010 und 5003:5005
|> > Zur Not musst Du mal einen Versuch _ohne_ FW starten und sehen, ob das
|> > funktioniert...
|>
|> Ich nix FW. Nur NAT mit iptables.
Versuch mal obiges..
--
regards, gr.
Sometimes a man who deserves to be looked down upon because he is a
fool is despised only because he is a lawyer.
-- Montesquieu
--
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian! |> > FAQ auf der Gnomemeeting-HP. Da ist der entsprechende Link zu finden. |> > Mit 2.4.19 und dem entsprechenden Modul geht es hier wunderbar. |> > |> Ich versteh Dich richtig (und die gefundene Seite |> http://roeder.goe.net/~koepi/newnat.html) auch: Kernel von kernel.org |> patchen, kompilieren, iptables-Sourcen besorgen und kompilieren, und |> dann gehts? Jupp! :) -- regards, gr. For every bloke who makes his mark, there's half a dozen waiting to rub it out. -- Andy Capp -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
