Toon posts:

[iptables] Port forward wil op geen enkele manier lukken

Pagina: 1
Acties:

zondag 28 september 2003 04:09

Acties:

Verwijderd

Topicstarter
Na een paar dagen diverse topics alhier en de diverse how-to's doorgelezen te hebben kom ik er echt totaal niet meer uit :(

Ik heb hier een server staan waarmee ik met Mandrake 8.1 een beetje aan het experimenteren ben met linux. Nu is het verder geen probleem om internet te delen, dat werkt gewoon en men mail ophalen is ook geen probleem. Hiervoor gebruik ik zo'n standaard script wat hier en daar rondzwerft puur voor het routen.

Maar nu ik laatst emule eens heb gedownload om te proberen zit ik continu met de melding dat men poort 4662 'not reachable' is.
Nou ok, fijn. Dus ik opzoek naar hoe ik die poort moet forwarden en daarbij blijft de volgende regel maar elke keer weer naar voren komen:
code:
1

iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4662 -j DNAT --to 192.168.0.5:4662

Waarbij $EXTIP mijn chello ip is.
Hierbij nog wat andere UDP en TCP poorten die emule ook gebruikt en dan zou het moeten werken. Nou, niet dus :|

Hij blijft gewoon keihard volhouden dat die poort niet bereikbaar is. Hierna heb ik nog verschillende andere dingen geprobeerd om het toch voor elkaar te krijgen zoals het werken met in- en ouput waarbij ik het uiteindelijk wel voor elkaar kreeg dat poort 4662 van buitenaf als open gezien werd (online portscanner) maar zelfs dat mocht niet baaten. :'(

Dit is mijn script wat ik nu heb, inclusief hier en daar een wanhoopspoging :X
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

#/bin/bash
#eth0 = intern
#eth1 = extern

#iptable modules laden
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

#diverse waardes flushen
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

#het hele zutje routen
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT

#poorten forwarden Emule
iptables -A INPUT -p TCP --dport 4662 -j ACCEPT
iptables -A FORWARD -p TCP --dport 4662 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 4662 -j ACCEPT

iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4661 -j DNAT --to 192.168.0.2:4661
iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4662 -j DNAT --to 192.168.0.2:4662
iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4665 -j DNAT --to 192.168.0.2:4665
iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4672 -j DNAT --to 192.168.0.2:4672
iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 4711 -j DNAT --to 192.168.0.2:4711
iptables -A PREROUTING -t nat -p TCP --destination $EXTIP --dport 1214 -j DNAT --to 192.168.0.2:1214
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 4661 -j DNAT --to 192.168.0.2:4661
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 4662 -j DNAT --to 192.168.0.2:4662
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 4665 -j DNAT --to 192.168.0.2:4665
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 4672 -j DNAT --to 192.168.0.2:4672
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 4711 -j DNAT --to 192.168.0.2:4711
iptables -A PREROUTING -t nat -p UDP --destination $EXTIP --dport 1214 -j DNAT --to 192.168.0.2:1214

(Ok, geen beveiliging of niets, maar daar heb ik momenteel ook nog ff geen boodschap aan. Er draaien toch geen geweldige dingen dus dat is ff bijzaak.)

Maar al met al: Ik snap er geen bal meer van. Het wíl gewoon níet werken. :?
Wie wil er zo vriendelijk zijn wat licht in mijn duisternis te gooien :/

zondag 28 september 2003 11:43

Acties:
  • Freak_NL
  • Registratie: Juli 2000
  • Laatst online: 10-04 09:49

Freak_NL

Wilde gok; --destination vervangen door -o $OUT_IF.

($OUT_IF = eth1)

zondag 28 september 2003 14:45

Acties:

Verwijderd

Topicstarter
Dan krijg ik heel mooi de volgende melding bij het uitvoeren: "iptables v1.2.2: Can't use -o with PREROUTING"

Beetje té wilde gok me dunkt :)

zondag 28 september 2003 15:10

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Alles wat je in de PREROUTING forward moet je ook toestaan op de FORWARD chain, maar niet op de INPUT en OUTPUT chain (dat moest wel bij ipchains maar niet meer bij iptables).
Maar aangezien je wel de port 4662 (andere porten niet?) accepteert op de FORWARD chain zal dat wel geen probleem zijn.
Wat je kan proberen is aan het begin van de INPUT, FORWARD chain een LOG rule te plaatsen zodat je in je logs kan zien welke verbindingen er allemaal binnen komen. Gebruik wel de NEW,RELATED state anders wordt elk pakket gelogd terwijl je alleen geintereseerd bent in nieuwe binnenkomende verbindingen.

Overigens vraag ik me af of p2p programma's om kunnen gaan met private lan's.
Ik heb wel eens zitten log terwijl ik kazaa had draaien en zag bij uploads nooit binnen komende verbindingen naar mijn kazaa client alleen maar uitgaande (PUSH?).
Wel zag ik bij downloads vaak uitgaande verbindingen naar ip's uit de private range waardoor de downloads dus mislukten :'(

Terwijl het toch geen probleem is om je externe ip te achterhalen als je een verbinding maakt met een p2p netwerk vanaf een private lan. Dat kan je toch gewoon aan je peers vragen :)

[ Voor 2% gewijzigd door Buffy op 28-09-2003 15:20 . Reden: typos ]

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zondag 28 september 2003 15:10

Acties:

Verwijderd

Probeer eens -i in plaats van -o. Dit zijn bijvoorbeeld mijn EDonkey regels:

#EDonkey

iptables -t nat -A PREROUTING -p tcp --dport 4662 -i eth0 -j DNAT --to 192.168.0.3:4662
iptables -t nat -A PREROUTING -p udp --dport 4672 -i eth0 -j DNAT --to 192.168.0.3:4672

zondag 28 september 2003 15:17

Acties:

Verwijderd

Topicstarter
Maar aangezien je wel de port 4662 (andere porten niet?) accepteerd op de FORWARD chain zal dat wel geen probleem zijn.
Dat was dus 1 van de wanhoopspogingen :) Aangezien emule constant om poort 4662 bleef zeuren had ik die zo ff erbij geparkeerd om te proberen, helaas zonder resultaat. Maar aan de andere kant had dat ook niet uit mogen maken imho aangezien de default policies gewoon op accept staan :?

zondag 28 september 2003 20:21

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 17-04 13:12

Guru Evi

iptables -A INPUT -p TCP --dport 4662 -j ACCEPT
moet eruit hoor ;-) en hetzelfde met je OUTPUT zeker als die standaard op ACCEPT staan
Ook moet je die in je FORWARD steken en het is ook goed om een related,established regel in te steken

Pandora FMS - Open Source Monitoring - pandorafms.org

maandag 29 september 2003 19:09

Acties:

Verwijderd

Topicstarter
Guru Evi schreef op 28 September 2003 @ 20:21:
[...]
moet eruit hoor ;-) en hetzelfde met je OUTPUT zeker als die standaard op ACCEPT staan
Ook moet je die in je FORWARD steken en het is ook goed om een related,established regel in te steken
Ik neem aan dat het vast niet de bedoeling is om elke poort die je wil forwarden nog eens apart moet doorlaten bij FORWARD aangezien de policy al op ACCEPT staat :?
Maar aangezien dat ook niet werkte zoals ik hierboven al aangaf gaat dit helaas mijn probleem nog niet oplossen :/

@ IntrinsiX

Helaas werken ook jouw regels niet... :|

maandag 29 september 2003 20:24

Acties:

Verwijderd

Sorry, trouwens. In mijn regels moet je eth0 vervangen door eth1. Bij mij is eth0 het externe interface.

maandag 29 september 2003 20:34

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 29 september 2003 @ 20:24:
Sorry, trouwens. In mijn regels moet je eth0 vervangen door eth1. Bij mij is eth0 het externe interface.
Die had ik al door jah :)
Toch bedankt.
Pagina: 1
Reageer