Toon posts:

[Debian] Portforwarding.

Pagina: 1
Acties:

Verwijderd

Topicstarter
ik heb nou een Router die op linux draait. En ik heb er nog niet echt veel wijzer van. Ik heb nog bijna geen ervaring met Linux. Maar nou wil ik toch port forwarding aan de gang krijgen. En volgens de FAQ moet ik dan
code:
1
2
iptables -A PREROUTING -t nat -p tcp -d 62.195.14.37 --dport 80
-j DNAT --to 192.168.0.6:80
intypen. (Zonder enter natuurlijk) Maar dan doet ie et dus nog niet. En op die site waar in de FAQ naar gelinkt word kom ik er ook niet uit. Daar hebben ze het over bestanden die ik niet gevonden kan krijgen.

Zou iemand mij uit kunnen leggen hoe ik die portforwarding aan de gang krijg? Ik heb kernel versie 2.4.23.

Al vast bedankt.

[ Voor 3% gewijzigd door Verwijderd op 20-02-2004 15:48 ]


  • WHiZZi
  • Registratie: Januari 2001
  • Laatst online: 16:09

WHiZZi

Museumdirecteurtje

Wat is de default policy?
Als je alles dicht hebt zitten moet je poort 80 wel even openzetten

Of je zet de default policy FORWARD op accept :)

code:
1
iptables -P FORWARD ACCEPT

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.


Verwijderd

Topicstarter
Als ik die dingen intyp geeft ie geen foutmelding.
Maar zelfs na een reboot doet ie het nog steeds niet.

  • Sir Isaac
  • Registratie: September 2002
  • Laatst online: 21-05-2025
Probeer jay's firewall eens http://firewall-jay.sourceforge.net/. Dan hoef je niet te zelf alle iptables regels op te stellen, en dat kan dure fouten voorkomen.

Verwijderd

Of gebruik gShield, super makkelijk.

http://freshmeat.net/projects/gshield/

porten openen, NAT, etc

  • WHiZZi
  • Registratie: Januari 2001
  • Laatst online: 16:09

WHiZZi

Museumdirecteurtje

Verwijderd schreef op 20 februari 2004 @ 16:34:
Als ik die dingen intyp geeft ie geen foutmelding.
Maar zelfs na een reboot doet ie het nog steeds niet.
Nee, zoiets moet je ook in een scriptje zetten en automatisch laten opstarten als je wilt dat het effect heeft na een reboot..

En als het goed is komen er ook geen meldingen.

Dit is net zoiets als je in de auto stapt en net geleerd hebt dat je gas moet geven. De volgende keer dat je weer in de auto stapt zul je ook weer gas moeten geven hoor :P

Waarom zou je eigenlijk rebooten (ik neem aan dat het een server is) :?

[ Voor 5% gewijzigd door WHiZZi op 20-02-2004 17:01 ]

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

WHiZZi schreef op 20 februari 2004 @ 16:57:
[...]


Waarom zou je eigenlijk rebooten (ik neem aan dat het een server is) :?
ik denk omdat hij nog een newbie is en denkt dat dit moet net zoals bij windows.

Maare welke bestanden mis je dan?? Die kernel die je opgeeft is een erg nieuwe voor debian dus ik denk dat je unstable draait.
Eigenlijk denk ik dat je gewoon een nieuwe kernel in elkaar moet zetten met bijvoorbeel de nat modules meegebakken.
op
www.netfilter.org
en
www.kernelnewbies.org kan je veel i nfo vinden

  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 20-02 12:27
Misschien even neerzetten wat de foutmelding is, of deze inrammen in google?? Zo kan niemand er iets mee.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)


Verwijderd

Aanvullend op gShiel/jay's firewall ,
Shorewall, gebruik ik, ik vind 'm persoonlijk erg goed, makkelijk in te stellen etc.
http://www.shorewall.net

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

die jongen wil gewoon wat leren en debian draaien (verstandig) Kom dus niet aan met al die kant en klare distrotjes

Verwijderd

TrailBlazer schreef op 20 februari 2004 @ 20:19:
die jongen wil gewoon wat leren en debian draaien (verstandig) Kom dus niet aan met al die kant en klare distrotjes
Hte zijn firewall scripts, is nogal wat anders dan een distro dacht ik.

Verwijderd

Topicstarter
Ik heb hem door een maat van mij laten installeren.
Maar hij wil die portforwarding op een nette manier doen, en hij wist niet meer precies hoe dat moest. Vandaar dat het nog niet gebeurt is. Verder denk ik dat de kernel wel compleet genoeg is.

Bij al die dingen die ik hier boven in moest kloppen gaf ie geen foutmelding. Maar als ik dan vervolgens mijn site nog niet kon berijken is de eerste volgende logische (windows gebruikers) stap om te rebooten.

Maar ik zal eens kijken of het met zo'n progje kan.
iig al vast bedankt.

  • Fatal-Error
  • Registratie: Juli 2001
  • Niet online
Ben je niet vergeten forwarding aan te zetten?
code:
1
echo "1" > /proc/sys/net/ipv4/ip_forward

Welcome to the desert of the real.


Verwijderd

Verwijderd schreef op 20 februari 2004 @ 15:46:
code:
1
2
iptables -A PREROUTING -t nat -p tcp -d 62.195.14.37 --dport 80
-j DNAT --to 192.168.0.6:80
ik heb dit:

code:
1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80


als je een port wil forwarden heeft de optie -d niet veel zin. -d Specificeert namelijk de destination ip (als je een port forward, krijg je een binnenkomende connectie). Je zou wel -s kunnen gebruiken (dan is de port alleen toegankelijk om te forwarden voor het ip dat je met -s specificeert.

Verwijderd

Topicstarter
Die port forwarding staat aan.
En die andere regel heeft ook al geen effect.

Nou heb ik hier gisteren ook al die maat van mij die ook mijn bak geinstalleerd heeft gebelt en hij wist het ook niet. Op de een of andere manier werkte het bij mij niet net zo als bij andere waar ie wel eens eerder een router geinstalleerd heeft.

Maar ja, als hij het al niet weet dan weet ik het helemaal niet. Iemand hier een idee?

Verwijderd

Vind uit waar je firewall logt ( weet niet waar debian dat standaard doet, of debian dat doet trouwens ), en kijk op het moment ( met tail -f of zo ) dat je connectie probeert te maken met de webserver of de firewall machine packets dropt. Zo ja, zit het probleem in je firewall. Zo nee, kijk dan op de machine waar je webserver staat of deze wel goed geconfigureerd is. Misschien heeft deze foutmeldingen in het log?

  • Arnout
  • Registratie: December 2000
  • Laatst online: 17-02 21:41
Plaats je complete firewall script eens.

En die regel van AdminHenk moet je nog wel even aanpassen, die wijst namelijk naar 192.168.0.2. En vergeet de firewall niet uit te zetten op de 192.168.0.6 bak, indien dat een XP machine betreft.

Verwijderd

Topicstarter
MetHod schreef op 24 februari 2004 @ 10:41:
Plaats je complete firewall script eens.

En die regel van AdminHenk moet je nog wel even aanpassen, die wijst namelijk naar 192.168.0.2. En vergeet de firewall niet uit te zetten op de 192.168.0.6 bak, indien dat een XP machine betreft.
Welk bestand is dat firewall script? En welke bestanden heb ik eventueel nog meer nodig? (/etc/init.d/iptables gok ik)

En dat ip aanpassen had ik al wel door. En aan mijn server ligt het ook niet. Daar is niks aan veranderd en met mijn freeSCO router deed ie het wel. En vanuit mijn eigennetwerk kan ik ook nog op mijn site komen. Dus het ligt echt aan de router.

Verwijderd

Topicstarter
Ik kwam net op een andere site iets tegen maar ik wet niet of et iets is. Maar daar ging het over het bestand /etc/network/options En daar stond het volgende in:
code:
1
2
3
ip_forward=no
spoofprotect=yes
syncookies=no
Nou heb ik van die ip_forward yes gemaakt. Maar het werkt nog niet. Ook niet na het weer opnieuw invoeren van die rule.

Verwijderd

Mischien dat je er niks aan hebt, maar ik had hetzelfde probleem.
ik had portforwarding gedaan via:

code:
1
2
3
4
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8001 -j DNAT --to-destination 192.168.1.122:8001
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A prerouting -p tcp --dport 8001 -j DNAT --to-destination 192.168.1.122:8001
iptables -A FORWARD -p tcp --dport 8001 -j ACCEPT


MAAr toen werkte het nog niet (dacht ik) omdat ik vanaf het netwerk probeerde de server via die poort te bereiken.
DAT WERKT DUS NIET! je zal dus met een externe computer moeten kijken of het werkt!!

Verwijderd

Topicstarter
code:
1
2
3
4
Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.

  • RvdH
  • Registratie: Juni 1999
  • Laatst online: 19-02 14:54

RvdH

Uitvinder van RickRAID

Verwijderd schreef op 25 februari 2004 @ 09:32:
code:
1
2
3
4
Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.
Dan moet je masquerade support in je kernel bakken.

Verwijderd

Verwijderd schreef op 25 februari 2004 @ 09:32:
code:
1
2
3
4
Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.
die code werkt niet
want?>???????/
man iptables
lezen rtfm... sorry hoor.

PREROUTING hoort bij de nat table.
dus ?

iptables -t nat -A PREROUTING ect ect ect ect

Hier is zoals ik het heb:
code:
1
2
3
4
5
6
7
8
9
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -P INPUT ACCECPT
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
#


En hier is mijn netfilter kernel config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
CONFIG_IP_NF_MATCH_UNCLEAN=y
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_TARGET_LOG=y



Suc6 ermee

[ Voor 37% gewijzigd door Verwijderd op 25-02-2004 14:42 ]


  • Sendy
  • Registratie: September 2001
  • Niet online
> AdminHenk
Inderdaad. (En het is etc. (met punt!))

> Heintje1
Dat laatste stukje file, waarin je ip_forward=yes hebt gezet wordt pas herladen als je je networking herstart. Dat is dus of na een reboot, of na
code:
1
/etc/init.d/networking restart


Maar ik denk, net als AdminHenk, dat je misschien beter een tutorialtje kan opzoeken.

Verwijderd

http://home.nedlinux.nl/~bart/?page=3

Heeft een hele mooie (nederlandse) howto en uitleg over het hoe en het wat met IPTables.

Hiernaast staan daar ook vele voorbeeld scripts. Hieruit een selectie gemaakt die bijv port 80 forward naar ip adres 10.10.100.10 terwijl de netwerkkaart die aan het internet zit "eth0"is

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
## Variabelen
IPTABLES="/sbin/iptables"
LOCALIP="10.10.100.10"
EXTERNAL_INTERFACE="eth0"

##Default Policies
$IPTABLES -P INPUT DROP
$IPTABLES -t nat -P PREROUTING ACCEPT

## flush en clear alle rules en zet de tellers op 0
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z

## Port 80 forwarden naar en andere machine op het interne netwerk
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p tcp \
    --dport 80 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p 80 \
    -j DNAT --to $LOCALIP


de "\" is er voor dat je wel enters in je regel kan zetten in een script

$LOCALIP heb ik in een variabele boven aan het script gezet zodat je meerdere portforwarding regels kan aanmaken en zodra dan om welke reden dan ook je ip wijzigd je niet het hele script hoeft door te wandelen

[ Voor 74% gewijzigd door Verwijderd op 26-02-2004 12:35 ]


Verwijderd

Topicstarter
Verwijderd schreef op 26 februari 2004 @ 12:22:
http://home.nedlinux.nl/~bart/?page=3

Heeft een hele mooie (nederlandse) howto en uitleg over het hoe en het wat met IPTables.
Thanks, daarmee is het me gelukt om mijn poorten geforward te krijgen.
Pagina: 1