[Linux] Portforwarding zonder NAT - Linux en overige clients

zondag 22 augustus 2010 22:06

Acties:

0 Henk 'm!

Topicstarter

Met de volgende simpele iptables regel kan ik een poort van buitenaf naar een LAN adres doorloodsen:

code:

1	iptables -t nat -A PREROUTING -j DNAT -p udp --dport 23668 --to 192.168.5.182:23668

Bij de ontvangende host komt het pakketje binnen met de afzender van mijn gateway waar de iptables regel op staat. Maar dit vind ik vervelend en het is ook eigenlijk niet nodig om de afzender te veranderen, UDP in dit geval (elke geval trouwens) is stateless en er zal (volgens mij) ook geen probleem bij de interne host voordoen om deze pakketjes te beantwoorden.

Maar ik kan nergens vinden of hetgeen wat ik wil of dat ook kan. De meeste aangedragen oplossingen komen op een totale DMZ oplossing waarbij de interne host het externe IP adres gaat gebruiken, maar dit is ook niet wenselijk.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

zondag 22 augustus 2010 22:28

Acties:

0 Henk 'm!

Jaap-Jan

En hoe wil je een antwoord terugkrijgen als de ontvanger als source ip 192.168.5.182 krijgt? Dat adres is niet- routeerbaar en zal dus gedropt worden bij de eerste router die hem tegenkomt.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

zondag 22 augustus 2010 22:31

Acties:

0 Henk 'm!

Keiichi

Topicstarter

De ontvanger (192.168.5.182) moet het pakketje met de originele source IP adres krijgen. Hier wil ik geen NAT hebben.

De interne host 192.168.5.182 heeft een default gw waarlangs ie een reactie kan terugsturen. Hierbij is het wel de bedoeling dat de source naar het publieke adres word aangepast natuurlijk

Hiervoor staat ook een MASQUERADE rule voor gezet.

-edit-

Het lijkt me dat het wel moet kunnen. Ik heb ergens een firewall van astaro geimplemtenteerd waarbij de poort 25 doorstuur naar een server met een LAN adres en deze 'ziet' de originele source IP. Alleen zijn die iptables dusdanig complex dat ik daar niet heel veel wijzer van ga worden

[ Voor 37% gewijzigd door Keiichi op 22-08-2010 22:36 ]

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

maandag 23 augustus 2010 09:00

Acties:

0 Henk 'm!

H!GHGuY

Try and take over the world...

Dé bijbel voor iptables vind je hier:
http://www.frozentux.net/...al/iptables-tutorial.html

De regel zoals jij hem post zo ook enkel het destination adres mogen wijzigen: DNAT staat trouwens voor Destination NAT itt Source NAT.
Ben je zeker dat er niet nog andere regels staan die de source ook aanpassen?

ASSUME makes an ASS out of U and ME

maandag 23 augustus 2010 10:28

Acties:

0 Henk 'm!

Keiichi

Topicstarter

H!GHGuY schreef op maandag 23 augustus 2010 @ 09:00:
Dé bijbel voor iptables vind je hier:
http://www.frozentux.net/...al/iptables-tutorial.html

De regel zoals jij hem post zo ook enkel het destination adres mogen wijzigen: DNAT staat trouwens voor Destination NAT itt Source NAT.
Ben je zeker dat er niet nog andere regels staan die de source ook aanpassen?

Ik heb m'n masqureade regel nu gezet op -o eth0 (wan interface) en nu komen complete IP adressen wel door

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

maandag 23 augustus 2010 12:23

Acties:

0 Henk 'm!

Verwijderd

Ben ik trouwens de enige die iptables veels te ingewikkeld vindt? Als je iets simpels wilt doen als NAT forwarding dan moet je al weet ik niet hoeveel lezen om net het juiste regeltje in de documentatie te vinden.

IMHO, is het gewoon een programma om mensen aan het werk te houden.

maandag 23 augustus 2010 12:29

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Verwijderd schreef op maandag 23 augustus 2010 @ 12:23:
Ben ik trouwens de enige die iptables veels te ingewikkeld vindt? Als je iets simpels wilt doen als NAT forwarding dan moet je al weet ik niet hoeveel lezen om net het juiste regeltje in de documentatie te vinden.

IMHO, is het gewoon een programma om mensen aan het werk te houden.

Het is een pakket waar je alles mee kan; zeg maar een stapel stenen met als opdracht: maak er een huis van. Ben je ook lang mee bezig.

Gelukkig zijn er genoeg aannemers die het werk van je over willen nemen, en dat zijn gewoon programma's die in elke repository wel te vinden zijn.

Hoe je het wend of keert, networking blijft lastig, en dat kun je haast niet vervangen door een mooie interface, helemaal niet als je het speciaal wil doen.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 23 augustus 2010 12:29

Acties:

0 Henk 'm!

_JGC_

Daarom staat het internet ook vol met howto's over het opzetten van een basic firewall. Dit soort dingen zijn standaard acties die je met iptables kunt doen en zijn alom bekend, hoef je geen stevige documentatie voor door te spitten.

Overigens ben ik wel van mening dat /etc/pf.conf veel handiger is dan tig onoverzichtelijke iptables commando's

.

maandag 23 augustus 2010 13:04

Acties:

0 Henk 'm!

Verwijderd

Kees schreef op maandag 23 augustus 2010 @ 12:29:
[...]

Het is een pakket waar je alles mee kan; zeg maar een stapel stenen met als opdracht: maak er een huis van. Ben je ook lang mee bezig.

Gelukkig zijn er genoeg aannemers die het werk van je over willen nemen, en dat zijn gewoon programma's die in elke repository wel te vinden zijn.

Hoe je het wend of keert, networking blijft lastig, en dat kun je haast niet vervangen door een mooie interface, helemaal niet als je het speciaal wil doen.

Ik vind al die programma's (ik heb er een stuk of 4 geprobeerd) eigenlijk ook prut, maar misschien heb ik er eentje gemist. Wat vindt u nu een fantastisch programma waarvan je kunt zeggen dat het in principe 'af' is?

Ik vind overigens niet dat networking inherent lastig is.

maandag 23 augustus 2010 13:05

Acties:

0 Henk 'm!

Keiichi

Topicstarter

Ik heb bij FreeBSD ook eens met ipfw gestoeid en vond ik opzich wat logischer en makkelijker in elkaar steken.

Maar over de veelzijdigheid kan ik niet zo snel iets zeggen.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

maandag 23 augustus 2010 13:11

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Verwijderd schreef op maandag 23 augustus 2010 @ 12:23:
Ben ik trouwens de enige die iptables veels te ingewikkeld vindt? Als je iets simpels wilt doen als NAT forwarding dan moet je al weet ik niet hoeveel lezen om net het juiste regeltje in de documentatie te vinden.

IMHO, is het gewoon een programma om mensen aan het werk te houden.

Als je gewoon zoekt op een tutorial van iptables is het eerste wat ze doen nat configureren.

@Keiichi doe eens iptables -nvL -t nat het lijkt erop dat alles wat door je firewall heen gaat genat wordt en dat is niet goed.

maandag 23 augustus 2010 13:14

Acties:

0 Henk 'm!

Keiichi

Topicstarter

TrailBlazer schreef op maandag 23 augustus 2010 @ 13:11:
[...]
@Keiichi doe eens iptables -nvL -t nat het lijkt erop dat alles wat door je firewall heen gaat genat wordt en dat is niet goed.

Ik was er al achter wat het veroorzaakte.

Ik had iptables -t nat -A POSTROUTING -j MASQUERADE in de tables gezet. Daar heb ik nu iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 van gemaakt.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

maandag 23 augustus 2010 15:38

Acties:

0 Henk 'm!

lordgandalf

Dit is nogal basic imho ik heb nu een iptables met portscan meuk en log regels en ook nog portknocking enz dan word je config pas echt leuk

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

maandag 23 augustus 2010 15:47

Acties:

0 Henk 'm!

DrFlash

Verwijderd schreef op maandag 23 augustus 2010 @ 12:23:
Ben ik trouwens de enige die iptables veels te ingewikkeld vindt? Als je iets simpels wilt doen als NAT forwarding dan moet je al weet ik niet hoeveel lezen om net het juiste regeltje in de documentatie te vinden.

IMHO, is het gewoon een programma om mensen aan het werk te houden.

Iptables is niet lastiger dan enig ander firewall pakket (met een beetje mogelijkheden dan). Het enige verschil is dat je wel moet weten hoe je ermee om moet gaan.

verder op het topic, hier is een goed document te vinden over iptables wat ik in het verleden vaak gebruikt heb.

Wowhead profiel

maandag 23 augustus 2010 15:51

Acties:

0 Henk 'm!

Verwijderd

TrailBlazer schreef op maandag 23 augustus 2010 @ 13:11:
Als je gewoon zoekt op een tutorial van iptables is het eerste wat ze doen nat configureren.

Als ik een stuk software gebruik, wil ik geen "tutorial" hoeven te gebruiken. Ik wil snel een conceptueel model kunnen vormen van de software.

maandag 23 augustus 2010 16:49

Acties:

0 Henk 'm!

CyBeR

💩

Keiichi schreef op maandag 23 augustus 2010 @ 13:14:
[...]

Ik was er al achter wat het veroorzaakte.

Ik had iptables -t nat -A POSTROUTING -j MASQUERADE in de tables gezet. Daar heb ik nu iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 van gemaakt.

Als je ip statisch is kun je beter SNAT gebruiken. Dan raak je je state tabel niet kwijt als je link even down gaat.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 23 augustus 2010 17:08

Acties:

0 Henk 'm!

Keiichi

Topicstarter

CyBeR schreef op maandag 23 augustus 2010 @ 16:49:
[...]

Als je ip statisch is kun je beter SNAT gebruiken. Dan raak je je state tabel niet kwijt als je link even down gaat.

Helaas niet statisch

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/