Toon posts:

portforwarding problems..

Pagina: 1
Acties:

vrijdag 28 februari 2003 20:22

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
ok ik heb weer een probleem waar ik niet uit kom, ook niet met de search of google....

ik draai mandrake 9.0

en nu wil ik graag poort 80 forwarden van me externe ip naar 192.168.0.1

nu heb ik in de FAQ gekeken en daar stond een link naar een pagina met een howto..

daar stond dat ik het volgende stukje code moest invoeren in rc.firewall (die in de howto wordt aan gemaakt als opstart script)

code:
1
2
3
4
5

PORTFWIP="192.168.0.1"
 
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 80 -m state / --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A PREROUTING -t nat -p tcp -d 212.120.122.68 --dport 80 / -j DNAT --to $PORTFWIP:80

ik heb deze code met mijn eigen gegevens in gevuld, maar het werkt dus niet :(

ik kan de fout niet ontdekken..

ik gebruik overigens Kernel versie 2.4.19mdk

weet iemand hier een oplossing ?

vrijdag 28 februari 2003 20:49

Acties:

Verwijderd

Geef eens de uitvoer van /sbin/iptables -nL aub. Met het bovenstaan is niet veel aan te vangen.

vrijdag 28 februari 2003 20:52

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
Verwijderd schreef op 28 February 2003 @ 20:49:
Geef eens de uitvoer van /sbin/iptables -nL aub. Met het bovenstaan is niet veel aan te vangen.
iptables -nL geeft :

code:
1
2
3
4
5
6
7
8
9
10
11
12

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80 state NEW,RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
LOG        all  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 4 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[ Voor 10% gewijzigd door JWO op 28-02-2003 20:57 ]

vrijdag 28 februari 2003 20:58

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

JWO schreef op 28 February 2003 @ 20:22:
code:
1
2
3
4
5

PORTFWIP="192.168.0.1"
 
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 80 -m state / --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A PREROUTING -t nat -p tcp -d 212.120.122.68 --dport 80 / -j DNAT --to $PORTFWIP:80

ik heb deze code met mijn eigen gegevens in gevuld, maar het werkt dus niet :(
[/quote]
Wat heb je dan precies zelf ingetikt ?

Je hebt hopelijk wel de $EXTIF en $INTIF een waarde gegeven ?

God, root, what is difference? | Talga Vassternich | IBM zuigt

vrijdag 28 februari 2003 20:59

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
Wat heb je dan precies zelf ingetikt ?

Je hebt hopelijk wel de $EXTIF en $INTIF een waarde gegeven ?
die staan als variabele gedefinieerd :

EXTIF=eth1
INTIF=eth0

[ Voor 20% gewijzigd door JWO op 28-02-2003 21:00 ]

vrijdag 28 februari 2003 21:00

Acties:

Verwijderd

Volgens mij moet je bij het forwarden ook de destination opgeven (192.168.0.1 dus in dit geval). Onee, ik zie het al, je hebt de optie --to opgegeven bij de adres-translatie, maar dat moet zijn --to-destination geloof ik.

[ Voor 41% gewijzigd door Verwijderd op 28-02-2003 21:05 ]

vrijdag 28 februari 2003 21:01

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
Verwijderd schreef op 28 February 2003 @ 21:00:
Volgens mij moet je bij het forwarden ook de destination opgeven (192.168.0.1 dus in dit geval).
die staat boven aan als de variabele $PORTFWIP

vrijdag 28 februari 2003 21:02

Acties:
  • bakkerl
  • Registratie: Augustus 2001
  • Laatst online: 18-04 21:45

bakkerl

Let there be light.

die / hoort niet thuis in de regels...
Dit tegen wordt gebruikt om aan te geven dat de volgende regel ook bij de huidige regel hoord.

de / is GEEN onderdeel van iptables

vrijdag 28 februari 2003 21:04

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
bakkerl schreef op 28 February 2003 @ 21:02:
die / hoort niet thuis in de regels...
Dit tegen wordt gebruikt om aan te geven dat de volgende regel ook bij de huidige regel hoord.

de / is GEEN onderdeel van iptables
ok als ik alles zelf in vul dan krijg ik dus:

code:
1
2
3

$IPTABLES -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -m state  --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A PREROUTING -t nat -p tcp -d 212.120.122.68 --dport 80  -j DNAT --to 192.168.0.1:80


en dan werkt het nog steeds niet...

ik krijg geen foutmeldingen bij het starten van dat script

[ Voor 11% gewijzigd door JWO op 28-02-2003 21:06 ]

vrijdag 28 februari 2003 21:06

Acties:

Verwijderd

Heb mijn reply geedit. Als het goed is, moet dat hem zijn ;)

vrijdag 28 februari 2003 21:11

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
Verwijderd schreef op 28 februari 2003 @ 21:06:
Heb mijn reply geedit. Als het goed is, moet dat hem zijn ;)
het maakt helaas geen verschil... :'(

http://members.home.nl/j....ges/stuff/rc.firewall-2.4

dit is het hele script, volgens de HOWTO moet dit scriptje net boven de regel met FWD: erin staan (bijna onderaan)

[ Voor 32% gewijzigd door JWO op 28-02-2003 21:15 ]

vrijdag 28 februari 2003 21:15

Acties:

Verwijderd

Hmm, misschien moet je bij de adres translatie -j DNAT --to-destination 192.168.0.1:80 die poort 80 weglaten. Volgens mij hoeven er alleen poorten opgegeven te worden als er sprake is van een poortinterval.

vrijdag 28 februari 2003 21:17

Acties:

Verwijderd

Ben je van binnenuit aan het kijken of het werkt, of zit je op een externe computer te werken? Want als je van binnenuit werkt (dus van 192.168.0.0/<netmask>) en je gaat naar 212.120.122.68 dan wordt je niet aan 212.120.122.68 maar aan je interne ip-adress van je router gebonden, en zal de tweede regel sowieso niet werken.

Vanaf hier krijg ik btw een site met de titel 'Cc22569-a' dus als dat op je 192.168.0.1 draait dan werkt het wel.

[ Voor 17% gewijzigd door Verwijderd op 28-02-2003 21:18 ]

vrijdag 28 februari 2003 21:18

Acties:

Verwijderd

Oja, nog iets... hoe probeer je te testen of het portforwarden werkt? Je kunt namelijk zo niet vanaf je lokale netwerk op de webserver komen door je URL of internetadres in te tikken, want dan gaat het verkeerd met de adrestranslatie. Je kunt het beste een maatje laten testen of-ie werkt.

////Edit: LOL, ik kan anders wel je internet pagina opvragen op het ip-adres 212.120.122.68 ;D

////Edit: kijk maar:
HoiHoi

Wolkom op miin tiige mooie site :)

Ik bin him nog oan it ûtbreiden mar kinst alfest wol efkes rûnsjen.


Groetnisse Johan

[ Voor 36% gewijzigd door Verwijderd op 28-02-2003 21:21 ]

vrijdag 28 februari 2003 21:22

Acties:
  • JWO
  • Registratie: Januari 2002
  • Laatst online: 23:43

JWO

Topicstarter
ok dat was dus het laatste probleem :D

dat wist ik niet, hier voor had ik een windows bak draaien, en dan kon ik em wel gewoon via dat externe IP opvragen :D

allemaal weer heel errug bedankt

nu heb ik dus weer 2 dingen geleerd

/ hoort niet bij de code

je kunt je pagina niet op vragen op je externe IP als je achter een MASQ server zit

_/-\o_

[ Voor 39% gewijzigd door JWO op 28-02-2003 21:22 ]

vrijdag 28 februari 2003 21:29

Acties:

Verwijderd

Je kunt trouwens wel in een script de backslash "\" gebruiken om een CR te negeren. Dan wordt het script beter leesbaar. Zoiets dus:
code:
1
2
3
4
5
6
7
8

$IPTABLES --table nat \
          --append PREROUTING \
          --protocol tcp \
          --source $ANYWHERE \
          --destination $WORLDIP \
          --destination-port 21 \
          --jump DNAT \
          --to-destination $WEBSERVER

[ Voor 4% gewijzigd door Verwijderd op 28-02-2003 21:29 . Reden: typo ]

Pagina: 1
Reageer