[Debian] Portforwarding. - Linux en overige clients

vrijdag 20 februari 2004 15:46

Acties:

Verwijderd

Topicstarter

ik heb nou een Router die op linux draait. En ik heb er nog niet echt veel wijzer van. Ik heb nog bijna geen ervaring met Linux. Maar nou wil ik toch port forwarding aan de gang krijgen. En volgens de FAQ moet ik dan

code:

1 2	iptables -A PREROUTING -t nat -p tcp -d 62.195.14.37 --dport 80 -j DNAT --to 192.168.0.6:80

intypen. (Zonder enter natuurlijk) Maar dan doet ie et dus nog niet. En op die site waar in de FAQ naar gelinkt word kom ik er ook niet uit. Daar hebben ze het over bestanden die ik niet gevonden kan krijgen.

Zou iemand mij uit kunnen leggen hoe ik die portforwarding aan de gang krijg? Ik heb kernel versie 2.4.23.

Al vast bedankt.

[ Voor 3% gewijzigd door Verwijderd op 20-02-2004 15:48 ]

vrijdag 20 februari 2004 16:18

Acties:

WHiZZi

Museumdirecteurtje

Wat is de default policy?
Als je alles dicht hebt zitten moet je poort 80 wel even openzetten

Of je zet de default policy FORWARD op accept

code:

1	iptables -P FORWARD ACCEPT

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

vrijdag 20 februari 2004 16:34

Acties:

Verwijderd

Topicstarter

Als ik die dingen intyp geeft ie geen foutmelding.
Maar zelfs na een reboot doet ie het nog steeds niet.

vrijdag 20 februari 2004 16:50

Acties:

Sir Isaac

Probeer jay's firewall eens http://firewall-jay.sourceforge.net/. Dan hoef je niet te zelf alle iptables regels op te stellen, en dat kan dure fouten voorkomen.

vrijdag 20 februari 2004 16:54

Acties:

Verwijderd

Of gebruik gShield, super makkelijk.

http://freshmeat.net/projects/gshield/

porten openen, NAT, etc

vrijdag 20 februari 2004 16:57

Acties:

WHiZZi

Museumdirecteurtje

Verwijderd schreef op 20 februari 2004 @ 16:34:
Als ik die dingen intyp geeft ie geen foutmelding.
Maar zelfs na een reboot doet ie het nog steeds niet.

Nee, zoiets moet je ook in een scriptje zetten en automatisch laten opstarten als je wilt dat het effect heeft na een reboot..

En als het goed is komen er ook geen meldingen.

Dit is net zoiets als je in de auto stapt en net geleerd hebt dat je gas moet geven. De volgende keer dat je weer in de auto stapt zul je ook weer gas moeten geven hoor

Waarom zou je eigenlijk rebooten (ik neem aan dat het een server is)

[ Voor 5% gewijzigd door WHiZZi op 20-02-2004 17:01 ]

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

vrijdag 20 februari 2004 18:21

Acties:

TrailBlazer

Karnemelk FTW

WHiZZi schreef op 20 februari 2004 @ 16:57:
[...]

Waarom zou je eigenlijk rebooten (ik neem aan dat het een server is)

ik denk omdat hij nog een newbie is en denkt dat dit moet net zoals bij windows.

Maare welke bestanden mis je dan?? Die kernel die je opgeeft is een erg nieuwe voor debian dus ik denk dat je unstable draait.
Eigenlijk denk ik dat je gewoon een nieuwe kernel in elkaar moet zetten met bijvoorbeel de nat modules meegebakken.
op
www.netfilter.org
en
www.kernelnewbies.org kan je veel i nfo vinden

vrijdag 20 februari 2004 19:56

Acties:

pierre-oord

Misschien even neerzetten wat de foutmelding is, of deze inrammen in google?? Zo kan niemand er iets mee.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

vrijdag 20 februari 2004 20:12

Acties:

Verwijderd

Aanvullend op gShiel/jay's firewall ,
Shorewall, gebruik ik, ik vind 'm persoonlijk erg goed, makkelijk in te stellen etc.
http://www.shorewall.net

vrijdag 20 februari 2004 20:19

Acties:

TrailBlazer

Karnemelk FTW

die jongen wil gewoon wat leren en debian draaien (verstandig) Kom dus niet aan met al die kant en klare distrotjes

vrijdag 20 februari 2004 20:20

Acties:

Verwijderd

TrailBlazer schreef op 20 februari 2004 @ 20:19:
die jongen wil gewoon wat leren en debian draaien (verstandig) Kom dus niet aan met al die kant en klare distrotjes

Hte zijn firewall scripts, is nogal wat anders dan een distro dacht ik.

zaterdag 21 februari 2004 10:47

Acties:

Verwijderd

Topicstarter

Ik heb hem door een maat van mij laten installeren.
Maar hij wil die portforwarding op een nette manier doen, en hij wist niet meer precies hoe dat moest. Vandaar dat het nog niet gebeurt is. Verder denk ik dat de kernel wel compleet genoeg is.

Bij al die dingen die ik hier boven in moest kloppen gaf ie geen foutmelding. Maar als ik dan vervolgens mijn site nog niet kon berijken is de eerste volgende logische (windows gebruikers) stap om te rebooten.

Maar ik zal eens kijken of het met zo'n progje kan.
iig al vast bedankt.

zondag 22 februari 2004 12:19

Acties:

Fatal-Error

Ben je niet vergeten forwarding aan te zetten?

code:

1	echo "1" > /proc/sys/net/ipv4/ip_forward

Welcome to the desert of the real.

zondag 22 februari 2004 21:18

Acties:

Verwijderd

Verwijderd schreef op 20 februari 2004 @ 15:46:
code:
1
2
iptables -A PREROUTING -t nat -p tcp -d 62.195.14.37 --dport 80
-j DNAT --to 192.168.0.6:80

ik heb dit:

code:

1	iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80

als je een port wil forwarden heeft de optie -d niet veel zin. -d Specificeert namelijk de destination ip (als je een port forward, krijg je een binnenkomende connectie). Je zou wel -s kunnen gebruiken (dan is de port alleen toegankelijk om te forwarden voor het ip dat je met -s specificeert.

dinsdag 24 februari 2004 09:05

Acties:

Verwijderd

Topicstarter

Die port forwarding staat aan.
En die andere regel heeft ook al geen effect.

Nou heb ik hier gisteren ook al die maat van mij die ook mijn bak geinstalleerd heeft gebelt en hij wist het ook niet. Op de een of andere manier werkte het bij mij niet net zo als bij andere waar ie wel eens eerder een router geinstalleerd heeft.

Maar ja, als hij het al niet weet dan weet ik het helemaal niet. Iemand hier een idee?

dinsdag 24 februari 2004 10:34

Acties:

Verwijderd

Vind uit waar je firewall logt ( weet niet waar debian dat standaard doet, of debian dat doet trouwens ), en kijk op het moment ( met tail -f of zo ) dat je connectie probeert te maken met de webserver of de firewall machine packets dropt. Zo ja, zit het probleem in je firewall. Zo nee, kijk dan op de machine waar je webserver staat of deze wel goed geconfigureerd is. Misschien heeft deze foutmeldingen in het log?

dinsdag 24 februari 2004 10:41

Acties:

Arnout

Plaats je complete firewall script eens.

En die regel van AdminHenk moet je nog wel even aanpassen, die wijst namelijk naar 192.168.0.2. En vergeet de firewall niet uit te zetten op de 192.168.0.6 bak, indien dat een XP machine betreft.

dinsdag 24 februari 2004 11:25

Acties:

Verwijderd

Topicstarter

MetHod schreef op 24 februari 2004 @ 10:41:
Plaats je complete firewall script eens.

En die regel van AdminHenk moet je nog wel even aanpassen, die wijst namelijk naar 192.168.0.2. En vergeet de firewall niet uit te zetten op de 192.168.0.6 bak, indien dat een XP machine betreft.

Welk bestand is dat firewall script? En welke bestanden heb ik eventueel nog meer nodig? (/etc/init.d/iptables gok ik)

En dat ip aanpassen had ik al wel door. En aan mijn server ligt het ook niet. Daar is niks aan veranderd en met mijn freeSCO router deed ie het wel. En vanuit mijn eigennetwerk kan ik ook nog op mijn site komen. Dus het ligt echt aan de router.

dinsdag 24 februari 2004 14:25

Acties:

Verwijderd

Topicstarter

Ik kwam net op een andere site iets tegen maar ik wet niet of et iets is. Maar daar ging het over het bestand /etc/network/options En daar stond het volgende in:

code:

1
2
3

ip_forward=no
spoofprotect=yes
syncookies=no

Nou heb ik van die ip_forward yes gemaakt. Maar het werkt nog niet. Ook niet na het weer opnieuw invoeren van die rule.

dinsdag 24 februari 2004 15:29

Acties:

Verwijderd

Mischien dat je er niks aan hebt, maar ik had hetzelfde probleem.
ik had portforwarding gedaan via:

code:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8001 -j DNAT --to-destination 192.168.1.122:8001
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A prerouting -p tcp --dport 8001 -j DNAT --to-destination 192.168.1.122:8001
iptables -A FORWARD -p tcp --dport 8001 -j ACCEPT

MAAr toen werkte het nog niet (dacht ik) omdat ik vanaf het netwerk probeerde de server via die poort te bereiken.
DAT WERKT DUS NIET! je zal dus met een externe computer moeten kijken of het werkt!!

woensdag 25 februari 2004 09:32

Acties:

Verwijderd

Topicstarter

code:

Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name

Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.

woensdag 25 februari 2004 09:34

Acties:

RvdH

Uitvinder van RickRAID

Verwijderd schreef op 25 februari 2004 @ 09:32:
code:
1
2
3
4
Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.

Dan moet je masquerade support in je kernel bakken.

woensdag 25 februari 2004 14:38

Acties:

Verwijderd

Verwijderd schreef op 25 februari 2004 @ 09:32:
code:
1
2
3
4
Router:~# iptables -A prerouting -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Router:~# iptables -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6:80
iptables: No chain/target/match by that name
Die code die je opnoemt werkt niet.

En ik zit hier op mijn stage dus ik kom wel degelijk van buiten af. Dus als de portforwarding werkt zou ik dat vanaf hier moeten kunnen merken als ik mijn site op vraag.

die code werkt niet
want?>???????/
man iptables
lezen rtfm... sorry hoor.

PREROUTING hoort bij de nat table.
dus ?

iptables -t nat -A PREROUTING ect ect ect ect

Hier is zoals ik het heb:

code:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -P INPUT ACCECPT
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
#

En hier is mijn netfilter kernel config:

code:

CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
CONFIG_IP_NF_MATCH_UNCLEAN=y
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_TARGET_LOG=y

Suc6 ermee

[ Voor 37% gewijzigd door Verwijderd op 25-02-2004 14:42 ]

woensdag 25 februari 2004 15:00

Acties:

Sendy

> AdminHenk
Inderdaad. (En het is etc. (met punt!))

> Heintje1
Dat laatste stukje file, waarin je ip_forward=yes hebt gezet wordt pas herladen als je je networking herstart. Dat is dus of na een reboot, of na

code:

1	/etc/init.d/networking restart

Maar ik denk, net als AdminHenk, dat je misschien beter een tutorialtje kan opzoeken.

donderdag 26 februari 2004 12:22

Acties:

Verwijderd

http://home.nedlinux.nl/~bart/?page=3

Heeft een hele mooie (nederlandse) howto en uitleg over het hoe en het wat met IPTables.

Hiernaast staan daar ook vele voorbeeld scripts. Hieruit een selectie gemaakt die bijv port 80 forward naar ip adres 10.10.100.10 terwijl de netwerkkaart die aan het internet zit "eth0"is

code:

## Variabelen
IPTABLES="/sbin/iptables"
LOCALIP="10.10.100.10"
EXTERNAL_INTERFACE="eth0"

##Default Policies
$IPTABLES -P INPUT DROP
$IPTABLES -t nat -P PREROUTING ACCEPT

## flush en clear alle rules en zet de tellers op 0
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z

## Port 80 forwarden naar en andere machine op het interne netwerk
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p tcp \
    --dport 80 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -p 80 \
    -j DNAT --to $LOCALIP

de "\" is er voor dat je wel enters in je regel kan zetten in een script

$LOCALIP heb ik in een variabele boven aan het script gezet zodat je meerdere portforwarding regels kan aanmaken en zodra dan om welke reden dan ook je ip wijzigd je niet het hele script hoeft door te wandelen

[ Voor 74% gewijzigd door Verwijderd op 26-02-2004 12:35 ]

vrijdag 27 februari 2004 11:48

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 26 februari 2004 @ 12:22:
http://home.nedlinux.nl/~bart/?page=3

Heeft een hele mooie (nederlandse) howto en uitleg over het hoe en het wat met IPTables.

Thanks, daarmee is het me gelukt om mijn poorten geforward te krijgen.