Re: H.323 ü b e r Gatekeeper/Proxy
Hallo Goran, Goran Ristic <[EMAIL PROTECTED]> on Thu, Oct 03, 2002 at 09:06:38PM +0200: > > > |> > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) > |> > |> Wobei - wie aus der ersten Mail in diesem Thread, die aber schon > |> länger her ist, hervorgeht - das ja eigentlich vermieden werden > |> soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. > > Sorry. - Ich hatte die nicht mehr im Kopf. > Es sollte aber ohne prerouting gehen. Was sagen denn die Logs dazu? Ich les mich langsam in iptables ein ... ohne PREROUTING geht auf jeden Fall kein Port-Forwarding. Die Frage ist, ob es auch ohne gehen sollte. Der interessante Abschnitt der rc.firewall, wie im IP-Masquerading-HOWTO beschrieben: echo " clearing any existing rules and setting default policy.." $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F echo " FWD: Allow all connections OUT and only existing and related ones IN" $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE Im syslog: Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_nat_core.c:739 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT: ip_nat_core.c:839 &ip_conntrack_lock not readlocked Oct 3 21:36:20 ns kernel: ASSERT ip_conntrack_core.c:94 &ip_conntrack_lock readlocked D.C. ad inf. Kann es sein, daß ich mich mal an die netfilter-ML wenden sollte? mfg Christian msg20393/pgp0.pgp Description: PGP signature
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian! |> > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) |> |> Wobei - wie aus der ersten Mail in diesem Thread, die aber schon |> länger her ist, hervorgeht - das ja eigentlich vermieden werden |> soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. Sorry. - Ich hatte die nicht mehr im Kopf. Es sollte aber ohne prerouting gehen. Was sagen denn die Logs dazu? -- regards, gr. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo Goran, Goran Ristic <[EMAIL PROTECTED]> on Thu, Oct 03, 2002 at 08:18:37AM +0200: > > > |> > Hast Du mal versucht, per iptable-regeln ein forward von Port 1720 auf > |> > den Client zu legen? > |> > |> Nein. Muß mal iptables richtig lernen. Du hast nicht die passenden > |> Rules parat? > > Hmmm...aus'm Kopp: > ${IPTABLES} -A PREROUTING -t nat -p TCP -d ${pub} --dport 1720 -j DNAT --to \ > ${client-ip}:1720 > > ${pub} und ${client-ip} natürlich richtig ersetzen. > Wenn das nicht reicht, musst Du wohl jeden Port umleiten. > (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) Wobei - wie aus der ersten Mail in diesem Thread, die aber schon länger her ist, hervorgeht - das ja eigentlich vermieden werden soll. Es sollen nämlich MEHRERE NM-Clients hinter dem Router hängen. mfg Christian msg20337/pgp0.pgp Description: PGP signature
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian! |> > Hast Du mal versucht, per iptable-regeln ein forward von Port 1720 auf |> > den Client zu legen? |> |> Nein. Muß mal iptables richtig lernen. Du hast nicht die passenden |> Rules parat? Hmmm...aus'm Kopp: ${IPTABLES} -A PREROUTING -t nat -p TCP -d ${pub} --dport 1720 -j DNAT --to \ ${client-ip}:1720 ${pub} und ${client-ip} natürlich richtig ersetzen. Wenn das nicht reicht, musst Du wohl jeden Port umleiten. (Wobei es hier im Grunde auch ohne das PREROUTING geht. (?) |> > Und hast Du in Deiner FW auch die entsprechenden Ports frei gemacht? |> > 3:30010 und 5003:5005 |> > Zur Not musst Du mal einen Versuch _ohne_ FW starten und sehen, ob das |> > funktioniert... |> |> Ich nix FW. Nur NAT mit iptables. Versuch mal obiges.. -- regards, gr. Sometimes a man who deserves to be looked down upon because he is a fool is despised only because he is a lawyer. -- Montesquieu -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: H.323 ü b e r Gatekeeper/Proxy
Hallo, Christian! |> > FAQ auf der Gnomemeeting-HP. Da ist der entsprechende Link zu finden. |> > Mit 2.4.19 und dem entsprechenden Modul geht es hier wunderbar. |> > |> Ich versteh Dich richtig (und die gefundene Seite |> http://roeder.goe.net/~koepi/newnat.html) auch: Kernel von kernel.org |> patchen, kompilieren, iptables-Sourcen besorgen und kompilieren, und |> dann gehts? Jupp! :) -- regards, gr. For every bloke who makes his mark, there's half a dozen waiting to rub it out. -- Andy Capp -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)