[iptables]forwarding met behoud van extern IP-adres - Linux en overige clients

maandag 28 april 2003 13:21

Acties:

Topicstarter

Ik zit met een klein probleempje mbt het forwarden van poorten dmv iptables. Ik heb een Slackware 9.0 routertje/firewall opgezet die poort 2064 (perproxy D.net) moet forwarden naar een intern IP-adres waarop de proxy draait.

Op het moment ziet het stukje script er zo uit:

code:

## Port 2064 to 2064
iptables -t nat -A PREROUTING  -p tcp -d <IP-eth0> --dport 2064 -j DNAT --to-destination <IP-eth1>:2064
iptables -t nat -A POSTROUTING -p tcp -d <IP-eth1> --dport 2064 -j SNAT --to-source <IP-eth0>
iptables -A FORWARD -p tcp -d <IP-eth1> --dport 2064 -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED

voor <IP-eth0> en <IP-eth1> heb ik de IP-adressen ingevuld. Dit werkt allemaal goed echter zie ik nu alleen als ik kijk naar de stats dat daar alleen het IP-adres in voor komt van eth0.

Er wordt dus geforward maar het IP-adres blijft niet behouden van de externe gebruikers. Hoe kan ik dit oplossen? En is dit wel op te lossen?

maandag 28 april 2003 14:22

Acties:

Buffy

Fire bad, Tree pretty

De tweede regel weg halen lijkt me. Die plakt op alles wat je redirect naar IP-eth1:2064 het source adres IP-eth0.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

dinsdag 29 april 2003 08:29

Acties:

Eastern

Dat lijkt me ook ja. En dan moet je nog een regeltje toevoegen dat je alles nog terug routeerd. Dus dan moet je de destination en de source omdraaien geloof ik. k'Zal vanavond @home ff kijken hoe het zit.

dinsdag 29 april 2003 16:28

Acties:

Witlof

Topicstarter

hmm, heb dus die regel weg gehaald en het lijkt te werken maar ben benieuwd naar het regeltje wat er nog bij zou moeten volgens Eastern

woensdag 30 april 2003 11:48

Acties:

Witlof

Topicstarter

Eastern schreef op 29 April 2003 @ 08:29:
Dat lijkt me ook ja. En dan moet je nog een regeltje toevoegen dat je alles nog terug routeerd. Dus dan moet je de destination en de source omdraaien geloof ik. k'Zal vanavond @home ff kijken hoe het zit.

Als het gisteren niet meer lukte mag het vandaag ook nog wel hoor

woensdag 30 april 2003 12:25

Acties:

Eastern

Sorry Witlof, weer vergeten natuurlijk. Maar daar komt mijn regel:

code:

1
2
3

./iptables -t nat -A PREROUTING -d [extern ip] -p tcp --dport 80 -j DNAT --to-destination 192.168.2.2:80
./iptables -I INPUT -i ppp0 -p tcp -d 192.168.2.2 -s 0.0.0.0/0 --destination-port 80 -j ACCEPT
./iptables -I OUTPUT -o ppp0 -p tcp -s 192.168.2.2 -d 0.0.0.0/0 --source-port 80 -j ACCEPT

Dit werkt bij mij goed. Deze zorgt er voor dat ik in mijn apache settings gewoon mijn interne ip kan gebruiken.

code:

1
2
3

./iptables -t nat -A PREROUTING -d [extern ip] -p tcp --dport 25 -j DNAT --to-destination 192.168.2.56:25
./iptables -I INPUT -i ppp0 -p tcp -d 192.168.2.2 -s 0.0.0.0/0 --destination-port 25 -j ACCEPT
./iptables -I OUTPUT -o ppp0 -p tcp -s 192.168.2.2 -d 0.0.0.0/0 --source-port 25 -j ACCEPT

Deze zorgt er voor dat de smtp wordt op gepakt op de computer met internet verbinding en wordt doorgegeven aan de computer in het netwerk.

Die extra regel bij mij komt omdat ik een firewall heb met alles geblocked. Jullie blocken dan niks?

woensdag 30 april 2003 12:50

Acties:

Witlof

Topicstarter

Er wordt wel degelijk het een en ander geblocked alleen dit stukje is voor het forwarden van enkele poorten. Ik ga het meteen proberen en hopelijk werkt alles strax helemaal goed

Alvast bedankt in iedergeval

woensdag 30 april 2003 14:30

Acties:

Eastern

Ik heb als policy block staan, en wat ik door wil laten heb ik met extra regels toegevoegd.