Toon posts:

[FC4] Nat / port forward script werkt niet goed

Pagina: 1
Acties:

donderdag 22 september 2005 15:13

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
Beetje vage topic titel misschien, maar ik weet niet goed hoe ik het moest verwoorden.

Ik maak gebruik van de volgende setup:

code:
1
2
3
4
5

[FC4 server] <wan ip> <192.168.0.1>
        |
[2k3 server] <192.168.0.2> <192.168.1.1>
        |
[XP client] <192.168.1.2>


Beetje vage setup misschien, maar het kan op dit moment even niet anders. Zowel de 2003 server als de Fedora Core 4 server maken gebruik van NAT om het internet door te lussen. Voordat de Fedora Core 4 server er stond was de 2k3 server direct met het internet aangesloten en verzorgde hierbij ook de NAT naar de client. Dit werkte zonder problemen.

Nu de linux bak ervoor staat ondervind ik wat problemen die volgens mij aan mijn iptables setup ligt. Op de 2k3 server lopen 2 services die van buiten af bereik baar moeten zijn: Terminal Server (gewoon over tcp/ip, niet via vpn) en een FTP deamon.

Ik heb hiervoor de poorten geforward met het script dat ik altijd gebruik. Van iptables heb ik niet veel kaas gegeten, dus ik weet niet of het script goed is.

Mijn probleem:
De verbindingen van buitenaf zijn wel bereikbaar. Dit betekend dat ik normaal gesproken gewoon in kan loggen op de ftp en terminal. Echter, soms heb ik problemen wanneer ik wil verbinden. De connectie word dan heel even gemaakt, waarnaar hij weer verdwijnt. (connection lost). Wanneer ik het dan nogmaals probeer werkt het normaal gesproken weer.

Dit zelfde probleem ondervind ik met FTP. Wanneer ik een bestand wil downloaden (inloggen ging tot nu toe altijd perfect) verliest hij soms de connectie bij de start van de download. De ftp deamon (ioFTPD) geeft dan de volgende fout: 426 Connection closed: The specified network name is no longer available.

Zoeken in de knowledge base van ioFTPD geeft mij de conclusie dat het aan mijn netwerk kaart ligt. Hier ligt het voor 100% zekerheid niet aan. Intern verkeer gaat altijd goed (zowel 2k3 -> fc4 als 2k3 -> client). Ook verkeer naar de ftp deamon op de fc4 server geeft geen problemen (ja, maakt gebruik van andere poorten). Ik heb het idee dat het aan mijn NAT / Forward script ligt, ik kan dit echter niet bevestigen omdat ik geen idee heb hoe iptables exact werkt, en wat ik wel/niet moet doen.

Ik gebruik het onderstaande script:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

IPTABLES="iptables"         # Path to iptables (/usr/bin/iptables)
INTERNAL_INTERFACE="eth1"   # Local network interface 
EXTERNAL_INTERFACE="eth2"   # WAN network interface
LAN="192.168.0.0/24"        # Local network
WAN="123.123.123.123"       # Internet IP (even gewijzigt)
INTIP="192.168.0.1"         # Internal LAN ip of this box
FWDIP="192.168.0.2"         # Internal LAN ip of the client box 

# Clear rules and reset counters
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z

# Set default policies
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

## Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# NAT forward rules
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE

$IPTABLES -A FORWARD -i $INTERNAL_INTERFACE \
          -o $EXTERNAL_INTERFACE -s $LAN -d ! $LAN -j ACCEPT

$IPTABLES -t nat -A PREROUTING --dst $WAN -p tcp --dport 3389 -j DNAT --to-destination $FWDIP
$IPTABLES -t nat -A POSTROUTING --dst $WAN -p tcp --dport 3389 -j SNAT --to-source $INTIP
$IPTABLES -t nat -A OUTPUT --dst $WAN -p tcp --dport 3389 -j DNAT --to-destination $FWDIP

$IPTABLES -t nat -A PREROUTING --dst $WAN -p tcp --dport 21021 -j DNAT --to-destination $FWDIP
$IPTABLES -t nat -A POSTROUTING --dst $WAN -p tcp --dport 21021 -j SNAT --to-source $INTIP
$IPTABLES -t nat -A OUTPUT --dst $WAN -p tcp --dport 21021 -j DNAT --to-destination $FWDIP

# - ioFTPD PASV range forward

STARTPORT="8192"
ENDPORT="8392"

for ((i=STARTPORT;i<=ENDPORT ;i+=1)); do
        $IPTABLES -t nat -A PREROUTING --dst $WAN -p tcp --dport $i -j DNAT --to-destination $FWDIP
        $IPTABLES -t nat -A POSTROUTING --dst $WAN -p tcp --dport $i -j SNAT --to-source $INTIP
        $IPTABLES -t nat -A OUTPUT --dst $WAN -p tcp --dport $i -j DNAT --to-destination $FWDIP

        echo "Forwarding port $i to $INTIP"
done


OS details:
Fedora Core 4
Linux - 2.6.11-1.1369_FC4 #1 Thu Jun 2 22:55:56 EDT 2005 i686 athlon i386 GNU/Linux

Kan iemand mij helpen met dit probleem? Ik heb geen idee waar ik het moet zoeken.

[ Voor 4% gewijzigd door IceM op 23-09-2005 15:00 ]

...

vrijdag 23 september 2005 15:33

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
Daar komt ie dan ... de onvermijdelijke schop!

Niemand die hier een mogelijke oplossing voor heeft of ziet wat er aan de hand is?

...

zaterdag 24 september 2005 18:14

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
Hmz, allerlaatste kick, en dan weet ik het ook niet meer. Leg ik iets niet duidelijk uit of geef ik te weinig info?
Dit moet toch op te lossen zijn ...

...

zaterdag 24 september 2005 18:18

Acties:
  • MrBarBarian
  • Registratie: Oktober 2003
  • Laatst online: 07-03-2023

MrBarBarian

Once

NAT werkt, of NAT werkt niet.. NAT werkt nooit een klein beetje ;)

M.a.w. de error die je krijgt (426 Connection closed: The specified network name is no longer available) doet mij denken aan een slechte netwerk kabel/kaart/verbinding.

Fluctueert je ping niet toevallig ook aardig?

iRacing Profiel

zaterdag 24 september 2005 18:56

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
Zowel op de Linux als op de Windows server is een ftp deamon geïnstalleerd. Windows en linux zijn verbonden via 1GBIT, de linux machine zelf zit met 100MBIT aan het internet. Snelheden naar de linux server toe zijn goed (12MB/S beide richtingen) en linux kent het probleem van af en toe geen verbinding ook niet.

Snelheden van windows naar linux zijn ook goed, dit gaat met +- 25MB/S. Ook hierbij is de connectie altijd goed.

Toen windows nog als 1e server stond waren er ook geen problemen met beide netwerk kaarten. Ook de 426 error kreeg ik toen nooit. Ook toen waren de snelheden over het internet goed.

Het ligt met 100% zekerheid niet aan de netwerk kaarten. De linux bak heeft er 3, de windows 2. Alle mogelijke combinaties heb ik geprobeerd, niets dat het probleem oplosde of verergerde.

Omdat de connectie lokaal helemaal goed is kan het ook niet aan de kabel tussen linux en windows liggen. Interne snelheden zijn gewoon goed.

Edit:

Net even een aantal ping's gedaan van linux naar windows ... zitten allemaal rond de 0.200MS, lijkt me goed. De max is van het 1e ping request.
code:
1
2
3

--- 192.168.0.2 ping statistics ---
350 packets transmitted, 350 received, 0% packet loss, time 348991ms
rtt min/avg/max/mdev = 0.173/0.200/0.516/0.021 ms, pipe 2


Ping's van windows naar linux laten hetzelfde zien, alles zit onder de 1MS, windows doet niet achter de komma :)

Edit2:

Ik heb trouwens ook de NAT functie's op de 2k3 server uitgeschakeld gehad, omdat ik dacht dat deze misschien in de knoop raakte oid, ook dit hielp niet.

[ Voor 29% gewijzigd door IceM op 24-09-2005 19:18 ]

...

zondag 25 september 2005 14:56

Acties:
  • daft_dutch
  • Registratie: December 2003
  • Laatst online: 02-12-2025

daft_dutch

>.< >.< >.< >.<

heb je kabel of adsl?

>.< >.< >.< >.<

zondag 25 september 2005 17:45

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
daft_dutch schreef op zondag 25 september 2005 @ 14:56:
heb je kabel of adsl?
? Ik vertel dat ik via een 100mbit link ben aangesloten op het internet. Dit is gewoon een lan netwerk, via surfnet.

...

maandag 26 september 2005 00:47

Acties:
  • daft_dutch
  • Registratie: December 2003
  • Laatst online: 02-12-2025

daft_dutch

>.< >.< >.< >.<

IceM schreef op zondag 25 september 2005 @ 17:45:
[...]

? Ik vertel dat ik via een 100mbit link ben aangesloten op het internet. Dit is gewoon een lan netwerk, via surfnet.
oke dan kan ik je niet helpen ik weet wel dat kabel soms problemen geeft

>.< >.< >.< >.<

maandag 26 september 2005 02:13

Acties:
  • Confusion
  • Registratie: April 2001
  • Laatst online: 01-03-2024

Confusion

Fallen from grace

Mis je niet een
code:
1

$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
?

Wie trösten wir uns, die Mörder aller Mörder?

maandag 26 september 2005 10:58

Acties:
  • IceM
  • Registratie: Juni 2003
  • Laatst online: 18:20

IceM

Topicstarter
Confusion schreef op maandag 26 september 2005 @ 02:13:
Mis je niet een
code:
1

$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
?
Bovenstaande code geprobeerd, probleem blijft bestaan.

...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq