via iptables 1 poort toewijzen aan werkstation

Op woensdag 24 juli 2002 18:22 schreef wigwam het volgende:
iptables -A PREROUTING -t nat -p tcp -d 213.84.200.X --dport 81 -j DNAT --to 192.168.0.1:80

Ik wil 1 poort door verwijzen naar een lokale client poort 8080. Dan doe ik het zo toch goed... Alleen het werkt niet.Hoe kan ik zien op mijn linux RH7.3 server of die poort openstaat. Ik krijg nog steeds kan webpagina niet vinden

[..]

In die iptables rule staat dat je port 81 doorstuurt naar port 80 en ip 192.168.0.1.
Niet port 8080 dus.

Of is dit een type fout?

Met nmap kun je kijken welke poorten er open staan op je systeem.

neem ook een regel op in je Forwarding ruleset:

$IPTABLES -A FORWARD -o $EXTIF -s $ANDER_IP -p tcp --sport 80 -j ACCEPT

werkt bij mij..

Op woensdag 24 juli 2002 18:22 schreef wigwam het volgende:
De X is het laatste cijfer van mijn server maar die zet ik er niet bij

Interesting ports on wigwam.xs4all.nl (213.84.200.98):
Port State Service
80/tcp open http
81/tcp open hosts2-ns

kleine moeite hoor...

Op donderdag 25 juli 2002 00:41 schreef MBrain het volgende:
neem ook een regel op in je Forwarding ruleset:

$IPTABLES -A FORWARD -o $EXTIF -s $ANDER_IP -p tcp --sport 80 -j ACCEPT

werkt bij mij..

LOL, ik weet zeker dat als je die regel weghaalt dat het nog steeds werkt
Wat deze regel namelijk zegt is:
"Het verkeer dat richting het internet wil (of het nou van een interne NIC komt of niet) met als bron-IP-adres $ANDER_IP (ik neem aan dat dit de webserver zijn interne IP-adres moet voorstellen) en bronpoort 80 mag worden geforward."
Het lijkt me heel sterk dat je webserver op poort 80 uitzendt. Daar luistert-ie namelijk normaal gesproken naar. Ik denk dus dat deze regel nooit en te nimmer geldt en je kunt hem dus met een gerust hart wegcommentaren.

Zonder een regel in de FORWARD chain bereikt geen packet het interne doel. Omdat de standaard policy staat op DENY (of course) zal er dus een match moeten komen voordat hij het einde van de FORWARD regel bereikt...anders wordt ie gedropped.
Het PREROUTEN verandert alleen het adres dat van 'buiten' bereikt kan worden met een die geldig is op het interne netwerk. Het pakket is dus niet voor de firewallbox zelf en zal doorgestuurd moeten worden (FORWARD). Vandaar de regel in de FORWARD chain, want anders zie ik hem terug komen in mijn logs als zijnde gedropped...

Op donderdag 25 juli 2002 01:25 schreef MBrain het volgende:

$IPTABLES -A FORWARD -o $EXTIF -s $ANDER_IP -p tcp --sport 80 -j ACCEPT

Dan heb je waarschijnlijk de verkeerde regel gecopied-paste.

Deze regel gaat toch echt over het verkeer van port 80 naar buiten.

Je bedoelde waarschijnlijk deze:

$IPTABLES -A FORWARD -i $EXTIF -d $ANDER_IP -p tcp --dport 80 -j ACCEPT

roger that

Werkt prima hoor....
Voor jou werkt het misschien niet maar jij
zit ook niet aan de inet kant.

Vergeet niet dat je bij internet explorer altijd http:// ervoor moet zetten als het om een pagina gaat die niet vanaf poort 80 wordt opgehaald.
[url="http://213.84.200.98:81"]http://213.84.200.98:81[/url] werkt bij mij verder goed.

Op donderdag 25 juli 2002 16:59 schreef wigwam het volgende:
dus bij jouw werkt het, wat zie je dan precies. Ik gaat het vanavond ook nog wel proberen bij mijn vriendin..

Je probeert toch niet van binnen uit je externe ip adres port 81 te connecten.

Dat werkt niet, zie reden : [url="http://gathering.tweakers.net/forum/list_messages/527430"][portforwarding] interne forwarding gaat mis[/url].

Als je dat wilt moet je de interne redirects ook nog source natten.


Iets in de trant:

iptables -A POSTROUTING -t nat -d 192.168.0.0/24 --dport 8080 -j MASQUERADE

Op donderdag 25 juli 2002 17:32 schreef wigwam het volgende:

[..]

Hij herkent die --dport niet

Sorry, was uit het hoofdje

moet nog een '-p tcp' bij

En voor de zekerheid een '-o $INTIF' en '-d 192.168.0.1'
waarbij $INTIF je interne interface is.

-edit-

zucht


iptables -A POSTROUTING -t nat -o $INTIF -p tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 81 -j MASQUERADE

zo zou ie het moeten doen.

Op vrijdag 26 juli 2002 12:28 schreef wigwam het volgende:
En voor de zekerheid een '-o $INTIF' en '-d 192.168.0.1'
waarbij $INTIF je interne interface is.

iptables -A POSTROUTING -t nat -o $INTIF -p tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 81 -j MASQUERADE

zo zou ie het moeten doen.

Die $INTIF herkent hij niet en als ik hem vervang door mijn lokale adres. Dan wordt de regel wel geacepteerd. Alleen het werkt nog niet... Intern
[/quote]

Ik heb je "foute" quote overgenomen. Het moet natuurlijk port 8080 zijn ipv port 81. De regel op de FORWARD chain wordt uitgevoerd na de redirect regel zodat port 81 als is omgezet in port 8080.

En wat betreft $INTIF.
De meeste firewall scripts zetten aan het begin enkele variable zoals (bv) $INTIF, $EXTIF, $INTIP etc zodat je die gegevens maar op een plaats hoeft te veranderen.

Aangezien ik niet wist of je interne netwerk op interface eth0, eth1 of eth2 zit heb ik even $INTIF als voorbeeld gebruikt.
Maar je mag de '-o' optie ook weg laten als je wilt.