Toon posts:

[IP Tables] Poort 443 doorsturen, alle https sites verkeerd?

Pagina: 1
Acties:

zaterdag 25 juni 2011 01:24

Acties:
  • 0Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Topicstarter
Goedenacht Tweakers,

Ik zit met een vaag issue. Mijn Linksys routertje stopte er pas mee, en aangezien ik nog genoeg PC's in overvloed had had ik bedacht om een bak met ubuntu te installeren en die als router neer te zetten.
Tot zover gaat het prima, het routen gaat prima en iedereen kan weer vrolijk internetten!

Nu wil ik alleen wat poorten opengooien naar mijn server zodat ik bij Exchange kan(HTTPS).
Dus ik doe dit in de terminal van mijn ubuntu bak:
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.2.108
Maar zodra ik dat doe en het toepas op de ubuntu bak gaan ALLE HTTPS site's opeens naar mijn server lopen redirecten. En dat is nou net niet de bedoeling. De bedoeling is dat ik vanaf extern (ETH1) poort 443 openzet naar intern (ETH0).

Iemand enig idee hoe ik dit ga oplossen? Ik loop al uren te googlen en kom niet verder.

zaterdag 25 juni 2011 01:33

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

-i eth1, wellicht? ;)

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 juni 2011 01:38

Acties:
  • 0Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Topicstarter
CyBeR schreef op zaterdag 25 juni 2011 @ 01:33:
-i eth1, wellicht? ;)
Werkt helaas niet. Krijg van Chrome gewoon "Fout 102 (net::ERR_CONNECTION_REFUSED): De server heeft de verbinding geweigerd." terug :(

zaterdag 25 juni 2011 01:41

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

DennusB schreef op zaterdag 25 juni 2011 @ 01:38:
[...]


Werkt helaas niet. Krijg van Chrome gewoon "Fout 102 (net::ERR_CONNECTION_REFUSED): De server heeft de verbinding geweigerd." terug :(
Dan doet of je server het niet, of je FORWARD table deny't het verkeer. Maar andere sites moeten 't daarmee weer gewoon doen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 juni 2011 01:42

Acties:
  • 0Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Topicstarter
CyBeR schreef op zaterdag 25 juni 2011 @ 01:41:
[...]


Dan doet of je server het niet, of je FORWARD table deny't het verkeer. Maar andere sites moeten 't daarmee weer gewoon doen.
Anders site's doen het inderdaad gewoon weer. Probleem is dat ik die poort niet open lijk te krijgen!

zaterdag 25 juni 2011 01:46

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

DennusB schreef op zaterdag 25 juni 2011 @ 01:42:
[...]


Anders site's doen het inderdaad gewoon weer. Probleem is dat ik die poort niet open lijk te krijgen!
Zoals ik al zei: kijk naar je FOWARD table. Kijk ook naar of die server 't überhaupt doet.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 juni 2011 01:48

Acties:
  • 0Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Topicstarter
CyBeR schreef op zaterdag 25 juni 2011 @ 01:46:
[...]


Zoals ik al zei: kijk naar je FOWARD table. Kijk ook naar of die server 't überhaupt doet.
Ik zal je eerlijk zeggen, ik ben redelijk nieuw met iptables. Dus ik weet even niet zo goed waar ik die forward table kan opvragen.

zaterdag 25 juni 2011 02:24

Acties:
  • 0Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

iptables -L

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 juni 2011 10:13

Acties:
  • 0Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 09:43

Equator

Crew Council

#whisky #barista

Dit lijkt me meer voor Non-Windows Operating Systems :)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

zaterdag 25 juni 2011 10:16

Acties:
  • 0Henk 'm!
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

iptables -nvL -t nat moet het zijn.

zaterdag 25 juni 2011 11:28

Acties:
  • 0Henk 'm!
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 23-05 14:52

deadinspace

The what goes where now?

Voor de duidelijkheid: je probeert een https website op een interne computer voor de buitenwereld beschikbaar te maken? Maak desnoods een (ASCII-art) schetsje, want het is belangrijk dat soort details duidelijk te hebben :)

Verder een tip: je kunt je netwerk-interfaces renamen (onder Debian in /etc/udev/rules.d/70-persistent-net.rules, onder Ubuntu is dat vast niet veel anders). Zo had ik op mijn router "wan0" voor de externe interface, en "lan0" voor de interne interface, dat is lekker duidelijk.

Voorzover ik je situatie begrijp moet die regel die je in je topicstart noemde maar dan met -i eth1 ipv -i eth0 goed zijn. Merk wel op dat het verkeer ook in de FORWARD chain doorgegeven moet worden, dus als de policy van FORWARD op DROP staat moet je daar die HTTPS forward ook expllciet toelaten.

Ikzelf heb veel gehad aan het volgende plaatje voor het goed begrijpen van netfilter (aka iptables):
DennusB schreef op zaterdag 25 juni 2011 @ 01:38:
Werkt helaas niet. Krijg van Chrome gewoon "Fout 102 (net::ERR_CONNECTION_REFUSED): De server heeft de verbinding geweigerd." terug :(
Probeer je die website dan te benaderen van binnen of van buiten je netwerk? De oplossing waar wij tot nu toe op aanstuurden richt zich op het van buiten je netwerk beschikbaar maken van die site, en dat werkt volgensmij niet voor binnen je netwerk. Daarvoor heb je wellicht inderdaad nog een PREROUTING regel met -i eth0 voor nodig (maar dan wel gelimit op het IP-adres waarop die website beschikbaar moet zijn).
TrailBlazer schreef op zaterdag 25 juni 2011 @ 10:16:
iptables -nvL -t nat moet het zijn.
Niet als je de FORWARD chain wil zien, want die zit niet in de nat table ;)
(maar het gebruik van -nv is een goed idee, en het is ook een goed idee om de nat table te laten zien idd)
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee