Re: Portforwarding
Andreas Kretschmer wrote: am 07.11.2005, um 15:36:36 +0100 mailte Uwe Laverenz folgendes: Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Sorry, aber sowas macht man nicht mit Portforwarding, sondern man setzt auf dem Debian-Rechner einen geeigneten SMTP-Server auf und konfiguriert diesen so, dass er den Exchange-Server als Smarthost benutzt. Depends. Vielleicht hängt die Debian-Kiste an einer öffentlichen IP und die andere Gurke im LAN, weil man M$ nicht einfach so prostituieren will. Dann macht ein Portforwarding schon Sinn. Stichwort 'Firewall'. Dann willst du definitiv kein Portforwarding, sondern ein Mailralay bauen. Dazu stellst du einen MTA deiner Wahl im w³ auf und trägst dein Exchange als Smarthost ein. So steht es auch da weiter oben. Aber Deiner Fragestellung entnehme ich, dass Du Dich lieber erst einmal mit grundlegeneren Themen beschäftigen solltest. ACK Andreas, Windows-Hasser. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Andreas Pois schrieb: Hallo, Re Hi!. Weiss jemand welche Ports von MS Exchange genutzt werden? Gerade (drübergestolpert ...) Nachtrag: (http://www.iss.net/security_center/advice/Exploits/Ports/groups/Microsoft/default.htm) Exchange Server This section describes the type of ports you might see in Micorosft's Exchange server. This is a huge e-mail server package. Again note the heavy reliance upon port 135 for remote administration and RPC communication between server components. 102 X.400 MTA 110 POP3 119 NNTP 143 IMAP4 389 LDAP 563 POP3 over SSL. 636 LDAP over SSL. 993 IMAP4 over SSL. 995 POP3 over SSL. mfg Andreas Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Portforwarding
Hallo, wie mache ich ein Portforwardingbei Debian? Weiss jemand welche Ports von MS Exchange genutzt werden? Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Bräuchte etwas hilfe, danke :) mfg Andreas
Re: Portforwarding
am 07.11.2005, um 14:59:27 +0100 mailte Andreas Pois folgendes: Hallo, wie mache ich ein Portforwarding bei Debian? So wie auch mit SuSI oder Redhat. Hint: iptables. Weiss jemand welche Ports von MS Exchange genutzt werden? Was ist Exchange? Meinst Du diesen mülligen SMTP-Server? 25 dann wohl. Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Ich hätte gern Zeilen, die auf meinen 21 - Bildschirm passen. Bräuchte etwas hilfe, danke :) Brauchen mehr Input. Aber vermutlich suchst Du sowas wie in http://www.linux-info-tag.de/7/detail/7 als DNAT beschrieben. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Andreas Pois schrieb: Hallo, Hallo!. wie mache ich ein Portforwarding bei Debian? Was ist das Ziel? einfach Mails weiterleiten oder ein Portforwarding, (Firewall-mässig)?. Weiss jemand welche Ports von MS Exchange genutzt werden? Mail: Smtp: 25 Pop3: 110 IMap: 143 ? Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Den debian Rechner als Exchange Server?. man kann ja forwards anlegen die die Mails sofort/direkt an den 2. Server weiterleiten? War das gemeint? (Es gibt Möglichkeiten einen gültigen Benutzer über LDAP abzufragen, bzw. zu importieren wenn ich mich nicht irre ...). Bräuchte etwas hilfe, danke :) Bei der gleichen Maschine (IP) (2 Mailserver auf einem Rechner) hatten wir es so gemacht dass 1 Mailserver auf Port 24 und 109 liegt ... Aber das trifft ja vmtl. nicht zu ... mfg Andreas Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
On Mon, Nov 07, 2005 at 02:59:27PM +0100, Andreas Pois wrote: wie mache ich ein Portforwarding bei Debian? Weiss jemand welche Ports von MS Exchange genutzt werden? Kommt drauf an, möglich wären 25, 110, 143 usw... Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Sorry, aber sowas macht man nicht mit Portforwarding, sondern man setzt auf dem Debian-Rechner einen geeigneten SMTP-Server auf und konfiguriert diesen so, dass er den Exchange-Server als Smarthost benutzt. Aber Deiner Fragestellung entnehme ich, dass Du Dich lieber erst einmal mit grundlegeneren Themen beschäftigen solltest. Gruss, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
am 07.11.2005, um 15:36:36 +0100 mailte Uwe Laverenz folgendes: Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Sorry, aber sowas macht man nicht mit Portforwarding, sondern man setzt auf dem Debian-Rechner einen geeigneten SMTP-Server auf und konfiguriert diesen so, dass er den Exchange-Server als Smarthost benutzt. Depends. Vielleicht hängt die Debian-Kiste an einer öffentlichen IP und die andere Gurke im LAN, weil man M$ nicht einfach so prostituieren will. Dann macht ein Portforwarding schon Sinn. Stichwort 'Firewall'. Aber Deiner Fragestellung entnehme ich, dass Du Dich lieber erst einmal mit grundlegeneren Themen beschäftigen solltest. ACK Andreas, Windows-Hasser. -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Andreas Pois schrieb: Hallo, wie mache ich ein Portforwarding bei Debian? Weiss jemand welche Ports von MS Exchange genutzt werden? Wer den Kram auswendig herunterleiern kann muß wahnsinnig sein ;-) Ist ne ganze Latte Ich hätte es gerne so, das man als Exchange Server den Debian Rechner eintragen kann, und dieser forwoardet das dann intern an den Exchange. Bräuchte etwas hilfe, danke :) mfg Andreas http://support.microsoft.com/?kbid=278339 http://support.microsoft.com/kb/q176466/ Ich habe davon immer die Finger gelassen. Zugriff auf exchange nur intern oder VPN von extern bestenfalls webfrontend -- Klaus Zerwes http://www.zero-sys.net -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PortForwarding mittels SSH
Andreas Kretschmer: am 28.08.2005, um 19:39:41 +0200 mailte Evgeni Golov folgendes: Laut manpage gibt es -L und -R, ich steig aber nicht ganz dahinter welcher was macht. Die Richtung der Forwardings ist etwas anders... Und zwar genau andersrum. Stell Dir vor Du sitzt in einem Firmennetz und hast da natürlich Zugang zu allerlei Netzwerkdiensten - zB. einem internen Webserver, von außen nicht erreichbar. Außerdem kommst Du per SSH nach Hause. Du kannst dann von einem Client in der Firma machen ssh -R 8080:webserver:80 foobar.dyndns.org (angenommen, die DynDNS-Domain zeigt auf Dein Heim) und Du hast vom entfernten Endpunkt der SSH-Verbindung (also hier foobar.dyndns.org) per localhost:8080 Zugriff auf den *internen* Webserver innerhalb des Firmennetzes. Für den Webserver sieht es genauso aus, als kämen die Zugriffe von dem Client innerhalb der Firma (modulo User-Agent). Ich gehe allerdings davon aus, daß sowas im Allgemeinen für eine fristlose Kündgung reichen kann. Ich hoffe, genug geschubst zu haben. Man kann mit SSH viele, viele, viele nette Sachen machen... Und *böse* Sachen. Aber ich stimme zu. :-) J. -- Every day in every way I am getting better and better. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: PortForwarding mittels SSH
Hallo Evgeni, Evgeni Golov [EMAIL PROTECTED] wrote: wenn ich die manpage von ssh richtig verstehe, ist es möglich damit einzelne Ports zu tunneln/forwarden. Aber ist denn auch folgendes möglich: Client A ist eine Debian Sarge Kiste und hängt hinter einem NAT, auf das ich kein Einfluss habe. Ich möchte gerne von zuhause aus auf Client A per SSH zugreifen. Kann man auf Client A so eine SSH Verbindung starten, dass er zu meinem Linux Router verbindet und dort einen Port öffnet, auf den ich von Client B (Debian Sid, meine Workstation) per SSH zugreife und auf Client A lande? Ich hoffe ich hab richtig verstanden was Du willst. Du willst per ssh auf Client A zugreifen und über diesen Weg auf Client B, der im gleichen Netz wie Client A steckt. Dann würde dann so gehen: z.B. Client A: 192.168.0.1 mit sshd Client B: 192.168.0.2 Windowskiste mit Terminalserver Ein ssh Aufruf könnte dann so aussehen: ssh [EMAIL PROTECTED] -L 3390:192.168.0.2:3389 Jetzt kannst Du Dich, als User johndoe auf Client A, per rdesktop localhost:3390 mit den auf Client B notwendigen Anmeldedaten am Terminalserverdienst auf Client B anmelden. Frank -- Ist das jetzt ein Klischee, daß überall auf der Welt erfolgreichen Nerd-Programmierer allein in ihrem stillen Kämmerchen sitzen und sich alles völlig allein aus irgendwelchen Handbüchern beibringen?
Re: PortForwarding mittels SSH
am 28.08.2005, um 19:39:41 +0200 mailte Evgeni Golov folgendes: wenn ich die manpage von ssh richtig verstehe, ist es möglich damit einzelne Ports zu tunneln/forwarden. Ja. VPN für Arme, sag ich immer ;-) Aber ist denn auch folgendes möglich: Client A ist eine Debian Sarge Kiste und hängt hinter einem NAT, auf das ich kein Einfluss habe. Ich Du hast aber SSH-Verbindung zu A, okay? Oder wie? möchte gerne von zuhause aus auf Client A per SSH zugreifen. Kann man auf Client A so eine SSH Verbindung starten, dass er zu meinem Linux Router verbindet und dort einen Port öffnet, auf den ich von Client B (Debian Sid, meine Workstation) per SSH zugreife und auf Client A lande? Ich versteh Deine Frage nicht ganz. Beispiele: - ich zu Hause, Internet, Debian-Gateway, Wixdos-Rechner mit VNC. ssh -l user -L 5900:IP_WIXDOS:5900 IP_Debian-GW Nun kann ich mit xvncviewer localhost völlig easy und entspannt von zu Hause aus die Wixdose fernsteuern. - im LAN einen PG-Server, Remote ein LAN mit Clients, die den PG-Server sehen sollen: (von Remote aus) ssh -L 5432:IP_MeinPG_Server:5432 -g [EMAIL PROTECTED] Nun können Clients im Remote-LAN sich an Server im RemoteLAN Port 5432 verbinden - und landen auf PG-Server in meinem LAN. (bin mir grad nicht ganz sicher, ob die Syntax stimmt, nutze aber ganz real dieses Szenario für ein LAN in der Schweiz, das auf meinen PG-Server hier in D zugreifen muß) Laut manpage gibt es -L und -R, ich steig aber nicht ganz dahinter welcher was macht. Die Richtung der Forwardings ist etwas anders... (bisher nie -R genutzt...) Hoffe jemand weiß, was ich meine, und kann mir kurz n Schubser in die richtige Richtung geben. Ich hoffe, genug geschubst zu haben. Man kann mit SSH viele, viele, viele nette Sachen machen... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PortForwarding mittels SSH
* Evgeni Golov: Aber ist denn auch folgendes möglich: Client A ist eine Debian Sarge Kiste und hängt hinter einem NAT, auf das ich kein Einfluss habe. Ich möchte gerne von zuhause aus auf Client A per SSH zugreifen. Kann man auf Client A so eine SSH Verbindung starten, dass er zu meinem Linux Router verbindet und dort einen Port öffnet, auf den ich von Client B (Debian Sid, meine Workstation) per SSH zugreife und auf Client A lande? Ja, Du startest auf A eine Session der Art: ssh -L 50022:router:22 [EMAIL PROTECTED] und solltest A nun von B aus durch ssh -p 50022 [EMAIL PROTECTED] erreichen. Laut manpage gibt es -L und -R, ich steig aber nicht ganz dahinter welcher was macht. Mit -R kannst Du beim Einloggen auf dem Router andere Rechner aus den LAN hinter der NAT ebenfalls zur Verfügung stellen. Läuft dort etwa auf dem Rechner »web« ein Webserver, forwardest Du ihn mit ssh -R 50080:web:80 [EMAIL PROTECTED] und kannst ihn von B aus mit http://router:50080 erreichen, oder Du forwardest mit »-R« einen ssh-Login einer anderen Kiste; welcher Service, ist egal. Also, wenn Du Dich von B aus auf A und C per ssh einloggen willst und außerdem noch den Webservice von D brauchst, forwardest Du von A aus die gewünschten Ports aller drei Rechner: ssh -L 50022:router:22 -R 50023:C:22 -R 50080:D:80 [EMAIL PROTECTED] und kannst von B aus mit ssh -p 50022 [EMAIL PROTECTED] per ssh auf A, mit ssh -p 50023 [EMAIL PROTECTED] per ssh auf C und mit http://router:50080 auf den Webservice von D zugreifen. Grüße, Andreas -- Beware of low-flying butterflies. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
PortForwarding mittels SSH
Moin $LISTE, wenn ich die manpage von ssh richtig verstehe, ist es möglich damit einzelne Ports zu tunneln/forwarden. Aber ist denn auch folgendes möglich: Client A ist eine Debian Sarge Kiste und hängt hinter einem NAT, auf das ich kein Einfluss habe. Ich möchte gerne von zuhause aus auf Client A per SSH zugreifen. Kann man auf Client A so eine SSH Verbindung starten, dass er zu meinem Linux Router verbindet und dort einen Port öffnet, auf den ich von Client B (Debian Sid, meine Workstation) per SSH zugreife und auf Client A lande? Laut manpage gibt es -L und -R, ich steig aber nicht ganz dahinter welcher was macht. Hoffe jemand weiß, was ich meine, und kann mir kurz n Schubser in die richtige Richtung geben. TIA Evgeni -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net pgpr4bO3CV3Tm.pgp Description: PGP signature
komisches Portforwarding...
Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Kann es sein, dass durch das Routing entschieden wird, dass das von PC2 geschickte Paket mit Destination öffentliche IP an die INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und damit letztendlich ins Netz rausgehen würde?) Achja, routing-Tabelle sieht so aus: [EMAIL PROTECTED]:~route -n Kernel IP Routentabelle ZielRouter Genmask Flags Metric Ref Use Iface 62.104.208.42 0.0.0.0 255.255.255.255 UH0 0 0 ippp0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ippp0 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Andreas -- There was a phone call for you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). hört sich stark nach einem Routing-Problem des ISDN-Rechners an. Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 (ISDN-Rechner?) angeben? Dirk
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]: Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist normal. Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut, das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3. Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts anfangen. Im Prinzip das gleiche passiert auch wenn du von PC1 aus anfragst. Eine Antwort kommt zurück an PC1, durchläuft also nicht das NAT weil sie nicht über das geNATtete Interface ISDN läuft. Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 10:56:59, Dirk Deimeke wrote: Hallo Andreas, So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). hört sich stark nach einem Routing-Problem des ISDN-Rechners an. Ebend, nur hab ich keine Idee was falsch ist... Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 (ISDN-Rechner?) angeben? Kein Problem (PC3 entfällt - der ist momentan sowieso offline). PC1: neo:~route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 62.104.208.42 0.0.0.0 255.255.255.255 UH0 0 0 ippp0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ippp0 neo:~ifconfig eth0 Link encap:Ethernet HWaddr 00:20:AF:ED:9E:A6 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 eth1 Link encap:Ethernet HWaddr 00:02:44:87:3E:46 inet addr:192.168.2.1 Bcast:192.168.1.255 Mask:255.255.255.0 ippp0 Link encap:Point-to-Point Protocol inet addr:213.7.61.176 P-t-P:62.104.208.42 Mask:255.255.255.255 Wobei sich die IP von ippp0 bei jeder Einwahl natürlich ändert... PC2: romorpheus:~route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.2.1 0.0.0.0 UG0 0 0 eth0 morpheus:~ifconfig eth0 Link encap:Ethernet HWaddr 00:02:3F:67:BD:6C inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0 Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... Andreas -- Just to have it is enough. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: * Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]: Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist normal. :-( X11-Forward über ISDN macht aber keinen Spass... (zum Testen). Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut, das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3. Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts anfangen. Sehr vereinfacht, aber das hab ich mir gedacht... Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Wenn ein Paket ankommt läuft es durch PREROUTING, dann routet der Rechner das Teil und stellt fest das die Ziel-IP die des ippp0 Inteface ist, und dann denke ich schickt er es nicht an FORWARD sondern an INPUT. Die Frage wäre also nur: Wie bringe ich iptables dazu alle Pakete an INPUT mit --dport 21 nicht anzunehmen sondern wieder nach FORWARD zu schieben? Andreas -- You can do very well in speculation where land or anything to do with dirt is concerned. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]: On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben erklärt. Du müsstest z.B. für Port 80 so etwas machen: iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \ MASQUERADE Das ist aber wirklich nur zum Testen tauglich. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
Hallo Andreas, On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch identisch für ethX (an dem PC3 hängt) an. Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte tatsächlich aber mit PC2 kommunizieren. HTH, Rainer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... das wäre meine nächste Frage. Hast Du auf dem PC1 (neo) forwarding eingeschaltet? echo 1 /proc/sys/net/ipv4/conf/all/forwarding Dirk
Re: komisches Portforwarding...
Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat: Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Zum Verständnis: Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 an die gleichen Ports auf PC2 (IP aus LAN). Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie in einem Subnet liegen oder PC1 ordentlich im LAN routet. Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort zurück und über das Port-Forwarding auf PC2. Und das geht nicht. OK. Ich vergebe mal mangels Vorgabe folgende Adressen: PC1: ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3 zu PC3: 192.168.1.1 zu PC2: 192.168.2.1 PC2: 192.168.2.10, default-Route an 192.168.2.1 PC3: 192.168.1.10, default-Route an 192.168.1.1 PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet werden soll. Ich versuch das mal theoretsich nachzuvollziehen, die Ports lass ich mal weg, da ja keine Änderung erfolgt. 1.Etappe: von PC3 an default-Route (PC1) Paket von 192.168.1.10 an 200.2.2.2 2.Etappe: auf PC1 direkt an ISDN-IF (Output) Paket von 192.168.1.10 an 200.2.2.2 3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10 4.Etappe: PC1 an PC2 Paket von 192.168.1.10 an 192.168.2.10 Antwort: 1.Etappe: PC2 an default-Route (PC1) 192.168.2.10 an 192.168.1.10 2.Etappe: Und hier müsste es IMHO eine Konflikt geben Warum? Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten und alles wäre an PC3 OK. Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das geforwardete und müsste es dementsprechend zurück maskieren und als Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken (anscheinend wird hier automatisch das entsprechende Output-Interface über die Absender-IP bestimmt und kein Ziel-Routing gemacht). Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt offensichtlich der zweite Fall ein und es wird mit der Zieladresse 192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert wird. Wie gesagt: Theorie. Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt. Lösung: Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch der Rückweg klappen. HTH -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet.
Re: komisches Portforwarding...
Hi, Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 10:02:15 +0100: hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Lass mich mal raten: Du machst das portforwarding mittels DNAT im PREROUTING auf ippp0? ungefähr so: iptables -t nat -A PREROUTING -p tcp --dport 80 -i ippp0 -j DNAT --to pc2 in http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-6.html#ss6.2 steht: Um das Ziel von lokal generierten Paketen zu aendern, kann auch die OUTPUT-Kette benutzt werden, das ist aber eher ungewoehnlich. also etwa: iptables -t nat -A OUTPUT -p tcp --dport 80 -i ippp0 -j DNAT --to pc2 Kann es sein, dass durch das Routing entschieden wird, dass das von PC2 geschickte Paket mit Destination öffentliche IP an die INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und damit letztendlich ins Netz rausgehen würde?) ja, nachdem die öffentliche IP von PC1 Ziel der Pakete ist gehen sie in die INPUT-Queue von PC1, da ist aber kein Listener drauf, also müsste eigentlich ein TCP-Reset die Verbindung beenden. also entweder bastelst Du mit den iptables rum oder Du installierst einen (Reverse)Proxy. -- Jörg Friedrich There are only 10 types of people: Those who understand binary and those who don't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:12:00, Dirk Deimeke wrote: Hallo Andreas, Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... das wäre meine nächste Frage. Ok, mit: iptables -t nat -I POSTROUTING 1 -o ippp+ -j MASQUERADE iptables -t nat -I PREROUTING 1 -i ippp+ -p tcp --dport 21 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 2 -i ippp+ -p tcp --dport 3:30010 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 3 -i ippp+ -p tcp --dport 22 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 4 -i ippp+ -p tcp --dport 80 -j DNAT --to 192.168.2.2 iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 21 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 3:30010 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 22 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 21 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 3:30010 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 22 -j ACCEPT iptables -I FORWARD 2 -o ippp+ -i eth1 -p tcp --sport 80 -j ACCEPT gehts immernoch nicht: [EMAIL PROTECTED]:~ftp 213.7.61.182 Nutzername [anonymous]: andreas Passwort: Suche IP Adresse von 213.7.61.182 Versuche B3db6.b.pppool.de:21 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Hast Du auf dem PC1 (neo) forwarding eingeschaltet? echo 1 /proc/sys/net/ipv4/conf/all/forwarding Klaro, sonst könnte ich ja nicht ins Netz... ;-) Andreas -- Long life is in store for you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:07:42, Felix M. Palmen wrote: Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]: On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben erklärt. Du müsstest z.B. für Port 80 so etwas machen: iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \ MASQUERADE Das ist aber wirklich nur zum Testen tauglich. Hmm, also ich hab die Firewall jetzt ausgemacht und nur noch das DNAT und das MASQUERADE (für den I-Net Zugang) an und neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp --dport21 -j MASQUERADE neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp --dport3:30010 -j MASQUERADE Aber ein ftp von PC2 aus: ftp [EMAIL PROTECTED]:~ftp 213.7.61.182 Nutzername [anonymous]: andreas Passwort: Suche IP Adresse von 213.7.61.182 Versuche B3db6.b.pppool.de:21 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Irgendwas ist da noch immer nicht in Ordnung... Andreas -- You may be infinitely smaller than some things, but you're infinitely larger than others. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:10:30, Rainer Hirsel wrote: On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch identisch für ethX (an dem PC3 hängt) an. Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte tatsächlich aber mit PC2 kommunizieren. PC3 hatte ich nur der Vollständigkeit halber erwähnt. Ich sitze an PC2 und von dem will ich auf seinen FTP-Server (aber übers Netz um das Portforwarding zu testen) Andreas -- Reply hazy, ask again later. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hi, Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt hast Du einmal mit einem nmap auf den Rechner geschossen? nmap -sS -p 21 B3db6.b.pppool.de Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 3:30010 benötigt. Ich mußte auf einem anderen Paketfilter alles jenseits der 1024 freigeben. Dirk
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]: Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es muss ja auf das Interface geNATtet werden, über das das Paket zum Server rausging. Also SNAT auf das LAN-Interface. Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Warnungen ernst nehmen. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:13:49, Matthias Houdek wrote: Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat: Zum Verständnis: Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 an die gleichen Ports auf PC2 (IP aus LAN). Jupp. Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie in einem Subnet liegen oder PC1 ordentlich im LAN routet. Er routet ordentlich und es geht ja auch nicht primär um den Zugang. Ich wollte das Portforwarding testen - das klappte nicht von PC2 aus (an dem ich sitze), deshalb frug ich hier. Portforwarding klappt zwar mittlerweile gut, aber mir gehts jetzt darum herauszufinden ob es eine Möglichkeit gibt vom Rechner im LAN das Portforwarding zu testen... Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort zurück und über das Port-Forwarding auf PC2. Und das geht nicht. Ich will eigentlich von PC2 über ISDN ins Netz und dann zurück zu PC2. PC3 ist ne Win-Kiste und ich hab sie nur der Vollständigkeit halber erwähnt. OK. Ich vergebe mal mangels Vorgabe folgende Adressen: PC1: ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3 Ändert sich ständig. zu PC3: 192.168.1.1 zu PC2: 192.168.2.1 PC2: 192.168.2.10, default-Route an 192.168.2.1 192.168.2.2 PC3: 192.168.1.10, default-Route an 192.168.1.1 192.168.1.2 PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet werden soll. Genau :-) 1.Etappe: von PC3 an default-Route (PC1) Paket von 192.168.1.10 an 200.2.2.2 2.Etappe: auf PC1 direkt an ISDN-IF (Output) Paket von 192.168.1.10 an 200.2.2.2 3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10 4.Etappe: PC1 an PC2 Paket von 192.168.1.10 an 192.168.2.10 Antwort: 1.Etappe: PC2 an default-Route (PC1) 192.168.2.10 an 192.168.1.10 2.Etappe: Und hier müsste es IMHO eine Konflikt geben Ich schätze mal... Folgendes sehe ich mit ethereal: DNS-Anfrage Standard query PTR 182.621.7.213.in-addr.arpa (ist die public-IP in umgekehrter Reihenfolge) Antwort ist Standard query response PTR B3db6.b.pppool.de Dann ein TCP Zugriff auf 213.7.61.182: 33593 ftp [SYN] Seq=0 Ack=0 Win=5840 Len=0 MSS=1460 TSV=14947772 Antwort darauf kommt noch: ftp 33593 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 Hmm und danach ebend nichts mehr und der ftp-Client sagt er bekommt keine Verbindung... Warum? Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten und alles wäre an PC3 OK. Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das geforwardete und müsste es dementsprechend zurück maskieren und als Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken (anscheinend wird hier automatisch das entsprechende Output-Interface über die Absender-IP bestimmt und kein Ziel-Routing gemacht). Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt offensichtlich der zweite Fall ein und es wird mit der Zieladresse 192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert wird. Hmm, also ganz so wohl nicht, jedenfalls kriege ich 1 Antwort von 213.7.61.182. Allerdings ebend danach nichts mehr... Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt. Genau das hatte ich schon gemacht (tethereal) aber ich machs nochmal mit ausgeschalteter Firewall... Hmm, also ich sehe auch auf PC1 in eth1 diesselben Pakete wie oben (einmal DNS-Kram, und SYN und RST,ACK für ftp). Auf ippp0 dagegen sehe ich _nur_ die DNS-Anfrage, nicht die ftp-Pakete... Lösung: Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch der Rückweg klappen. Sollte das nicht durch iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE passieren, das maskiert alles was an ippp+ rausgeht. Eines noch: Wenn auf dem Router ein FTP-Server läuft komme ich von PC2 mit ftp public-IP auf den FTP-server auf PC1. Also ist das Problem in der Tat, dass aus irgendeinem Grund die Pakete von PC2 nicht in die Forward-Kette sondern in die Input-Kette laufen... Andreas -- You can rent this space for only $5 a week. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 13:26:23, Dirk Deimeke wrote: Hi, Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt hast Du einmal mit einem nmap auf den Rechner geschossen? nmap -sS -p 21 B3db6.b.pppool.de Port ist closed, aus dem LAN jedenfalls. Das Problem sind die iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD... Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 3:30010 benötigt. Ja, denn das habe ich dem FTP-Server ja extra beigebracht, fürs Passive-FTP. Der Control-Channel ist trotzdem noch 21. Wie gesagt aus dem Internet gehts ja und momentan ist die Firewall abgeschaltet. Andreas -- You like to form new friendships and make new acquaintances. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 13:27:41, Felix M. Palmen wrote: Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]: Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es muss ja auf das Interface geNATtet werden, über das das Paket zum Server rausging. Also SNAT auf das LAN-Interface. Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Aha, das erklärt einiges. Warnungen ernst nehmen. Da Portforwarding funktioniert brauche ich das Testing ja erstmal nicht mehr. Aber für nen Test kann man die Warnungen wohl ignorieren, ein dauerhaftes Setup ist so natürlich nicht sehr gut und IHMO auch nicht sinnvoll, da Rechner im LAN ja direkten Zugriff ohne das I-Net machen können... Andreas -- You will be called upon to help a friend in trouble. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hi Andreas, Port ist closed, aus dem LAN jedenfalls. Das Problem sind die iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD... sorry, da bin ich nicht fit genug ... Dirk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Felix M. Palmen wrote: Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Danke, hat auch mir geholfen. Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht kommen, aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Helmut, * Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]: Felix M. Palmen wrote: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht kommen, Weil billige Router sehr primitiv arbeiten und als einziges Ziel haben, möglichst viele Verbindungen funktionieren zu lassen. Sicherheitsthemen sind da uninteressant, also kann man bei einem Portforward auch gleich automatisch Quell- und Zieladresse umschreiben. aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre, auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich zugegriffen?) Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 15:59:40, Felix M. Palmen wrote: * Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]: Felix M. Palmen wrote: aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre, auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich zugegriffen?) Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Andreas -- You will attract cultured and artistic people to your home. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 16:22]: Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Nein. Man arbeitet für gewöhnlich nicht mit IP-Adressen sondern mit Namen. Eine geeignete Konfiguration des lokalen Nameservers führt dazu, dass der gewünschte Name des Serverrechnes (etwa ftp.dyndns.example) auf bei einer Anfrage von innen auf den passenden lokalen Rechner zeigt. Ein Rechner außerhalb, der diesen Namen auflösen will, wird dagegen die IP-Adresse des externen Netzwerkinterfaces bekommen, das für diesen Client dann NAT macht. Soll die Antworten auf Anfragen von außen der gleiche Nameserver geben, benötigt man sogenanntes split DNS (Antwort abhängig von der Quell-Adresse der Anfrage). Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
Andreas Pakulat wrote: Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Eine Anfrage aus dem LAN wird dann gleich direkt auf die LAN-IP des Servers aufgelöst, wird dann also garnicht geNATed. Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für Test von Browserkompatibilität ist das natürlich nix, aber das mach ich eh auf Testumgebungen und nicht in Produktion. Bleibt ein Problem: wenn ein VirtualServer im Apache ein Rewrite z.B. von abc.com auf xyz.com:8080 macht, dann ergibt sich das selbe Problem. Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Felix M. Palmen wrote: [LAN-DNS] Wieso vorläufig? Genau so ist es richtig[tm]. Ja, eh. Vorläufig deshalb, weil ich die /etc/hosts auf meiner Workstation und am Server missbraucht habe. Split-DNS wär natürlich eine vernünftigere Lösung für ca. 30 virtual Hosts und über ein dutzend Clients. Bisher konnte ich der Syntax aus der Lochkartenära von BIND erfolgreich ausweichen;-) Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... Andreas -- Best of all is never to have been born. Second best is to die soon. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100: On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... warum testest Du ftp nicht mit ftp, ncftp, wget? -- Jörg Friedrich There are only 10 types of people: Those who understand binary and those who don't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Probleme (was: komisches Portforwarding...)
On 22.Feb 2005 - 17:21:55, Joerg Friedrich wrote: Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100: On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... warum testest Du ftp nicht mit ftp, ncftp, wget? Weil das Problem nur bei Zugriff über Webbrowser auftrat. Ok, auch wenns OT wird: Ausgansproblem war, dass mein Vater auf seinem Rechner den sog. Jana-Server als FTP-Server betreibt, ebenso wie ein Bekannter von ihm. Beide wollten nun die in einer neuen Version hinzugekommene Möglichkeit die Passive-Ports festzulegen ausprobieren. Dabei fiel auf, dass der Zugriff mittels Webbrowser (firefox) auf den FTP-Server (von einem Rechner der separat im Internet hängt) nur bei meinem Vater funktionierte, bei dem Bekannten gings. Wobei bei beiden Servern ein Zugriff mittels echtem FTP-Client funktioniert. Die hatten sich den Traffic mit ethereal angeguckt aber nichts gefunden. Also wollte ich mal schauen wie das mit meinem proftpd aussieht. Entsprechende Änderung an der Config und dann kam das Portforwarding-Problem. Ich also Doku gesucht und versucht das einzurichten, beim Testen des Portforwarding stiess ich auf das Eingangs erwähnte Problem aus dem LAN nicht auf die public-IP- FTP-Port zugreifen zu können. Um nun das Problem meines Vaters nachvollziehen zu können, mit meinem FTP-Server, muss ich per ssh auf einen Rechner im Internet (Uni) und von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht... Andreas -- You will be attacked by a beast who has the body of a wolf, the tail of a lion, and the face of Donald Duck. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Probleme (was: komisches Portforwarding...)
Moin Moin Andreas Pakulat, *, Andreas Pakulat wrote on Feb 22, 2005 at 06:10PM +0100: von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht... Du kannst auch einfach einen externen Proxy nehmen (Provider, freier proxy, $proxyvonkumpel) -- - Rainer Bendig aka ny GnuPG-Key 0x41D44F10 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Portforwarding zum verzweifeln
Hallo Liste! Ich habe folgende Portforwarding Regeln aufgestellt: iptables -A FORWARD -i eth0 -p tcp --syn --dport 1234 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --syn --dport 1234 -j DNAT --to 192.168.x.x:1234 Weitere Regeln in der FORWARD Chain: iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Die lokale Firewall bei 192.168.x.x ist für den Port 1234 offen. Soweit hat alles geklappt. Portforwarding funktionierte prima. Nachdem ich nun mein Ruleset mit iptables-save gespeichert habe, den Server neu gebooted habe, funkionierte nix mehr. Mein Ruleset wurde aber beim Bootvorgang korrekt geladen. Habe die Reglen zig mal nachgeprüft. Zum verzweifeln. Wo könnte das Problem liegen?!? Gruss! Dominique -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding zum verzweifeln
Dominique Zurkinden wrote: Hallo Liste! Ich habe folgende Portforwarding Regeln aufgestellt: iptables -A FORWARD -i eth0 -p tcp --syn --dport 1234 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --syn --dport 1234 -j DNAT --to 192.168.x.x:1234 Weitere Regeln in der FORWARD Chain: iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Die lokale Firewall bei 192.168.x.x ist für den Port 1234 offen. Soweit hat alles geklappt. Portforwarding funktionierte prima. Nachdem ich nun mein Ruleset mit iptables-save gespeichert habe, den Server neu gebooted habe, funkionierte nix mehr. Mein Ruleset wurde aber beim Bootvorgang korrekt geladen. Das heisst die Regeln stehen genauso wie da oben wenn du ein iptable -L machst? Auch die Reihenfolge ist diesselbe? Meist ist es eine Schlechte Idee Regeln mit -A an die Regelliste Anzuhaengen, ein einfuegen an einer passenden Stelle ist meist besser, mit -I. Denn wenn die 2. FORWARD Regel mit -o eth0 vor der --dport 1234 Regel steht wird auch nur diese ausgefuehrt. Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding zum verzweifeln
Hi, Dominique Zurkinden schrieb: Hallo Liste! Ich habe folgende Portforwarding Regeln aufgestellt: iptables -A FORWARD -i eth0 -p tcp --syn --dport 1234 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --syn --dport 1234 -j DNAT --to 192.168.x.x:1234 Weitere Regeln in der FORWARD Chain: iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Die lokale Firewall bei 192.168.x.x ist für den Port 1234 offen. Soweit hat alles geklappt. Portforwarding funktionierte prima. Nachdem ich nun mein Ruleset mit iptables-save gespeichert habe, den Server neu gebooted habe, funkionierte nix mehr. Mein Ruleset wurde aber beim Bootvorgang korrekt geladen. Nur als Idee: Ich hatte mal ein ähnliches Problem, Ursache waren wohl ein paar Regeln, welche zur Laufzeit aktiv waren aber mit iptables-save nicht gesichert wurden. habe mich nicht weiter um die Ursachen gekümmert, sondern folgendes ausgeführt: Wenn ich mir einen neuen Regelsatz erstellen will, führe ich zuerst ein #iptables -F #iptables -X aus. Danach gibt es nur noch die berühmten drei Chains und ich kann loslegen. Bisher hatte ich damit keine Probleme mehr. Habe die Reglen zig mal nachgeprüft. Zum verzweifeln. Wo könnte das Problem liegen?!? Gruss! Dominique Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Am Donnerstag, 4. Dezember 2003 15:17 schrieb Peter Blancke: Daniel Holze [EMAIL PROTECTED] dixit: [...] Ich habe bis jetzt noch nix gefunden was auch gefunzt hat. Was ist denn bei Dir funzen? Ist das diese umsich greifende ^^ *fg* neudeutsche Sprachverwirrung, die zwar als schick angesehen wird, uns aber in Pisa-Studien und anderen Bewertungen auf Platz Nimmerwiedersehen katalputieren wird? Bleibe Individualist, mache nicht alles mit! Na ja, eigentlich müßte es ja funcen heißen, oder? SCNR Peter Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Hello Daniel, On Thu, 4 Dec 2003 14:27:44 +0100 Daniel Holze [EMAIL PROTECTED] wrote: Hallo debian-user-german, kann mir mal wer verraten, wie ich unter Linux (Iptables) Ports im local-Lan forwarde? Ich habe bis jetzt noch nix gefunden was auch gefunzt hat. Das NAT geht einwandfrei. na also, dann ist ja alles bestens. Ich nehme an, Du verwendest Masquerade, also eine Sonderform von SNAT (Source NAT). Das Forwarden ist nichts anderes als ein DNAT (Destination NAT). Im Gegensatz zu SNAT wird DNAT in der PREROUTING Chain der Tabelle nat eingesetzt. $iptables -t nat -A PREROUTING -i $isp_dev -p TCP \ --destination-port 443 -j DNAT \ --to-destination ${ssh_server}:22 Jörg -- Jörg Schütter http://www.lug-untermain.de/ [EMAIL PROTECTED] http://www.schuetter.org/joerg/ ICQ: 298982789 http://mypenguin.bei.t-online.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
Daniel Holze [EMAIL PROTECTED] dixit: kann mir mal wer verraten, wie ich unter Linux (Iptables) Ports im local-Lan forwarde? Suchst Du sinngemaess so etwas wie dieses Beispiel: ,--- | $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 8400 \ | -j DNAT --to 192.168.3.151 | $IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 8410 \ | -j DNAT --to 192.168.3.151 `--- Ich habe bis jetzt noch nix gefunden was auch gefunzt hat. Was ist denn bei Dir funzen? Ist das diese umsich greifende neudeutsche Sprachverwirrung, die zwar als schick angesehen wird, uns aber in Pisa-Studien und anderen Bewertungen auf Platz Nimmerwiedersehen katalputieren wird? Bleibe Individualist, mache nicht alles mit! Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Portforwarding
On Thursday 04 December 2003 14:27, Daniel Holze wrote: kann mir mal wer verraten, wie ich unter Linux (Iptables) Ports im local-Lan forwarde? man -P'less +/DNAT' iptables Schöne Grüße, Stephan -- /* Stephan Hakuli // http://www.hakuli.net // GPG-ID 4006A977 Encryption with GPG or PGP is strongly encouraged, my public key is available on my website or on common public keyservers. */ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wie mache ich ein korrektes Portforwarding ?
Hallo Dominique, Dominique Benz [EMAIL PROTECTED] [2003-03-22 21:57]: Ich hab noch Anfängerprobleme mit der iptable. Kennst Du http://iptables-tutorial.frozentux.net/? HTH, Christian -- When I die, I want to die like my Grandmother who died peacefully in her sleep. Not screaming like all the passengers in her car. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PortForwarding mit iptables
Hallo Sebastian, Sebastian Wolfgarten [EMAIL PROTECTED] [2002-10-03 22:56]: Du brauchst noch ne Input-Regel, die die Antworten des internen Rechners akzeptiert. Kannst Du Dir die selber basteln, oder willst Du dafür nen Beispiel? Ich versteh aber nicht ganz, wieso ne INPUT-Regel. INPUT hat Policy ACCEPT. Aber irgendwie hab ich das Masquerading vielleicht doch noch nicht ganz verstanden. Die Prerouting-Regel sollte doch den Port 4666 aufm Server dauerhaft mit 4666 auf einem internen Rechner verbinden. Da muß ich doch wohl nicht auch noch den Port 4666 vom internen Rechner wieder auf den 4666 aufm Server mappen? Da sollte doch irgendeine Tabelle existieren, die das dauerhaft zusammenbringt? mfg Christian -- http://www.qno.de ICQ 57840861 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: PortForwarding mit iptables
Hi Christian, ich hatte mich in meiner letzten Mail vertan, ich meinte ne Forward-Regel (sorry!). Folgende Regeln sollten für dein Problem funzen: iptables -t nat -A PREROUTING -i eth1 \ -p TCP --dport 4666 -j DNAT --to 192.168.0.1 iptables -I FORWARD -i eth1 -o eth0 \ -p TCP --dport 4666 --sport 1024:65535 \ -d 192.168.0.1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT eth1 ist hier externe Netzwerkkarte, eth0 intern. Port ist wie in deinem Beispiel 4666 (TCP), der auf 192.168.0.1 umgeleitet wird. Gruß Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PortForwarding mit iptables
Hallo Sebastian, Sebastian Wolfgarten [EMAIL PROTECTED] [2002-10-08 19:58]: ich hatte mich in meiner letzten Mail vertan, ich meinte ne Forward-Regel (sorry!). Folgende Regeln sollten für dein Problem funzen: iptables -t nat -A PREROUTING -i eth1 \ -p TCP --dport 4666 -j DNAT --to 192.168.0.1 iptables -I FORWARD -i eth1 -o eth0 \ -p TCP --dport 4666 --sport 1024:65535 \ -d 192.168.0.1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT eth1 ist hier externe Netzwerkkarte, eth0 intern. Port ist wie in deinem Beispiel 4666 (TCP), der auf 192.168.0.1 umgeleitet wird. Vielen Dank. Aber obwohl ich die Adressen und Karten angepaßt habe, klappts nicht. Gibts irgendne Möglichkeit, da was auszutesten oder mitzuloggen? mfg Christian -- http://www.qno.de ICQ 57840861 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: PortForwarding mit iptables
Hallo Christian, also ich habe das so schon gemacht und klappte prima. Eventuell muß man den Zielport auf dem entfernten Rechner noch definieren. Setze doch mal alle Regeln auf DROP und dann loggst Du jeden Zugriff mit und postet mal die Ausgabe... Gruß Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
PortForwarding mit iptables
Hallo Gemeinde, Ich versuche ein PortForwarding mit Kernel 2.4.19 und iptables. Masquerading wird entsprechend dem Beispiel im IP-Masquerading-HOWTO gemacht und funktioniert. Dann sollte doch iptables -A PREROUTING -t nat -p tcp --dport 4666 -j DNAT --to \ 192.168.1.3:4666 den Port 4666 problemlos durchreichen. Allerdings klappt das anscheinend nicht. Verbindungen zu dem Programm, das auf Port 4666 lauscht, kommen nicht zustande. Wo hab ich mich verkonfiguriert? mfg Christian msg20384/pgp0.pgp Description: PGP signature
RE: PortForwarding mit iptables
Hallo Christian, Du brauchst noch ne Input-Regel, die die Antworten des internen Rechners akzeptiert. Kannst Du Dir die selber basteln, oder willst Du dafür nen Beispiel? Gruß Sebastian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)