[iptables] forwarden lukt weer eens niet - Linux en overige clients

donderdag 12 oktober 2006 14:19

Acties:

nzyme

terror

Topicstarter

nou, in de categorie 1001 vragen over iptables vandaag wederom een forwarding probleem.

Dit werkt namelijk niet

code:

1
2
3

#IPTABLES -P FORWARD ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -i eth1 --dport 11180 -j DNAT --to $HOST1:80

Het is dus de bedoeling om al het verkeer wat op de router ($HOST0) binnenkomt (waar dus dit script zit) op 11180 te forwarden naar $HOST1 op poort 80.

eth1 is internet en eth0 is het netwerk waar dus ook $HOST1 op zit.

edit:
nmap verteld me dit als ik de internet kaart check:

11180/tcp filtered unknown

[ Voor 10% gewijzigd door nzyme op 12-10-2006 14:20 ]

| Hardcore - Terror |

donderdag 12 oktober 2006 14:29

Acties:

dreambofh

Ik heb dit:

code:

1
2
3

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:80
iptables -A FORWARD -p tcp -m state --state NEW -d 192.168.1.1 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth1 -j ACCEPT

Op mijn linux router/firewall werkte dit. Misschien heb je er wat aan

donderdag 12 oktober 2006 20:54

Acties:

cool_zero

je --dport 80 moet --dport 11180 zijn in je forward rule:

code:

1	$IPTABLES -A FORWARD -p tcp --dport 11180 -j ACCEPT

donderdag 12 oktober 2006 21:22

Acties:

Gondor

Je iptables rules lijken mij goed. Heb je forwarding wel enabled, wat heb je in /proc/sys/net/ipv4/ip_forward staan?

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

vrijdag 13 oktober 2006 11:24

Acties:

nzyme

terror

Topicstarter

vage troep:

code:

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 11180 -j DNAT --to $HOST1:$
iptables -A FORWARD -p tcp -d $HOST1 --dport 11180 -j ACCEPT
iptables -A INPUT -p tcp --dport 11180 -j ACCEPT

$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT

dan een simpel wgetje vanaf de internet kant:

code:

test:/etc/xen# wget 10.0.0.99:11180/phpsysinfo/index.php
--11:24:22--  http://10.0.0.99:11180/phpsysinfo/index.php
           => `index.php'
Verbinden met 10.0.0.99:11180... failed: Verbinding geweigerd.

snap het even niet

edit:
ow en ja, ip_forward is uiteraard enabled aangzien het sowieso al een router systeem is

[ Voor 7% gewijzigd door nzyme op 13-10-2006 11:25 ]

| Hardcore - Terror |

vrijdag 13 oktober 2006 13:39

Acties:

cool_zero

de eerste regel $HOST1:$ moet $HOST1:80 zijn neem ik aan.

maandag 16 oktober 2006 09:48

Acties:

nzyme

terror

Topicstarter

cool_zero schreef op vrijdag 13 oktober 2006 @ 13:39:
de eerste regel $HOST1:$ moet $HOST1:80 zijn neem ik aan.

lol, dat krijg je dus als je terminal niet goed afgesteld is

code:

echo "[*] Setting forward rules"

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 11180 -j DNAT --to $HOST1:11180
iptables -A FORWARD -p tcp -d $HOST1 --dport 11180 -j ACCEPT
iptables -A INPUT -p tcp --dport 11180 -j ACCEPT

Dit staat er dus

De server zit inmiddels op poort 11180 om het iets makkelijker te maken maar wat doe ik fout

| Hardcore - Terror |

maandag 16 oktober 2006 20:40

Acties:

cool_zero

ik gebruik deze regels:

code:

1
2

/sbin/iptables -A PREROUTING -t nat --protocol tcp --destination eth0 --destination-port 11180 --jump DNAT --to-destination $HOST1                                                            
/sbin/iptables -A FORWARD -m state --state NEW --protocol tcp --destination-port 11180 --jump ACCEPT

De input regel is dus niet nodig, maar dat zou geen problemen moeten geven

[ Voor 6% gewijzigd door cool_zero op 16-10-2006 20:41 ]

dinsdag 17 oktober 2006 21:03

Acties:

nzyme

terror

Topicstarter

**schaaaaaaaaaaaaaaaam**

het firewall script roept een router script aan waarmee het inet gedeeld wordt.... En laat die nou net beginnen met iptables -t nat -F

het werk nu wel, met de bovenstaande regels

| Hardcore - Terror |