Toon posts:

[iptables] 1 nic, port forwarden?

Pagina: 1
Acties:

vrijdag 17 september 2004 19:57

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 08-09-2025

Haranaka

Topicstarter
Ik heb een vraagje of ik met 1 nic in mijn linux server ook een port kan forwarden naar een andere machine binnen het netwerk.
Ik wil namelijk af en toe remote inloggen op mijn werkstation (winxp) via poort 3389. Maar omdat ik die poort niet 24/7 open wil hebben wil ik dat ik eerst inlog via ssh op mijn linux bak om vervolgens die poort te forwarden zodat ik bezig kan. Als ik klaar ben gooi ik die poort weer dicht.

Vroeger was dit geen probleem omdat toen mijn server 2 nics had en dienst deed als router:
code:
1

~internet~ - [server] - [werkstation]

Nu heb ik een routertje aangeschaft:
code:
1
2

~internet~ - [router] - [werkstation]
                      \- [server]


Kan ik nu op de router poort 3389 doorsturen naar mijn server. En vervolgens de linux server die poort weer laten doorsturen naar mijn werkstation?

...

vrijdag 17 september 2004 20:07

Acties:
  • Paul
  • Registratie: September 2000
  • Laatst online: 18:23

Paul

Als je de router met telnet of ssh kunt bereiken is het denk ik makkelijker om via de SSH verbinding met je server, een verbinding naar de router op te zetten en de port te forwarden :)

Met een beetje geluk kun je dat nog in een scriptje zetten ook, waardoor je alleen een ./rdp-forward.sh on of ./rdp-forward.sh off oid hoeft te doen :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 17 september 2004 20:27

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Haranaka schreef op 17 september 2004 @ 19:57:
Kan ik nu op de router poort 3389 doorsturen naar mijn server. En vervolgens de linux server die poort weer laten doorsturen naar mijn werkstation?
Met iptables niet, je zal een userspace applicatie moeten gebruiken.

vrijdag 17 september 2004 20:39

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 08-09-2025

Haranaka

Topicstarter
Helaas kan ik vanaf mijn server niet de router veranderen, is webbased en moet lynx kom ik niet vergenoeg. Kan niet op de submit knop drukken nadat ik mijn wachtwoord heb ingevuld :(

Maar ik bedenk met wel dat ik nog wel 2 nicjes in de kast heb liggen en een crosskabeltje knippen en dan ben ik ook klaar...

...

zaterdag 18 september 2004 15:50

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Haranaka schreef op 17 september 2004 @ 19:57:
[..]
Kan ik nu op de router poort 3389 doorsturen naar mijn server. En vervolgens de linux server die poort weer laten doorsturen naar mijn werkstation?
Volgens mij is dat geen probleem.

code:
1
2

iptables -t nat -A PREROUTING -s ! <netwerk-iprange> -d <server-ip> -p tcp \
   --dport 3389 -j DNAT --to-destination <workstation-ip>

met bv netwerk-iprange = 192.168.0.0/24

Afhankelijk van je router zul je misschien de verbinding ook moeten source-natten zodat de verbinding van je server afkomstig lijkt.
Dit omdat de workstation anders rechtstreeks via de router gaat terug communiceren waardoor de nat-tables (of firewall) van de router in de war raken.

Kwestie van proberen

code:
1
2

iptables -t nat -A POSTROUTING -s ! <netwerk-iprange> -d <workstation-ip> -p tcp   \
   --dport 3389 -j SNAT --to-source <server-ip>


En vergeet de FORWARD chain niet, die moet de redirect doorlaten.

[ Voor 13% gewijzigd door Buffy op 18-09-2004 20:21 . Reden: extra opties ]

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zaterdag 18 september 2004 17:30

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Dawns_sister schreef op 18 september 2004 @ 15:50:
[...]

Volgens mij is dat geen probleem.
<snip>
edit:
Dit werkt dus wel, ik zag de DNAT's over het hoofd

[ Voor 36% gewijzigd door igmar op 18-09-2004 21:18 ]

zaterdag 18 september 2004 18:00

Acties:
  • Paul
  • Registratie: September 2000
  • Laatst online: 18:23

Paul

igmar schreef op 18 september 2004 @ 17:30:
[...]


Dit werkt niet : Er is IP technisch geen sprake van routing, en dus zal het pakketje ook de chains niet traversen.
En als je 2 ip's aan die nic hangt, in 2 subnets? Moet je hetzelfde doen op de Windows-doos natuurlijk.
Afaik kan Linux (ook) routen over virtuele interfaces.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 18 september 2004 18:44

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

igmar schreef op 18 september 2004 @ 17:30:
[...]


Dit werkt niet : Er is IP technisch geen sprake van routing, en dus zal het pakketje ook de chains niet traversen.
De PREROUTING chain van de nat tables wordt toch getraversed voor de routing? Nadat de destination ip is veranderd wordt het packet dan toch gewoon geforward, via de zelfde interface maar dat mag toch geen probleem zijn.

Zal het eens testen (meten is weten :))

edit:
Het werkt :)

[ Voor 5% gewijzigd door Buffy op 18-09-2004 20:55 . Reden: domme typo :-) ]

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zaterdag 18 september 2004 18:52

Acties:
  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 16-02 21:55

BoAC

Memento mori

Grappig vandaag nog geraadpleegd:
Destination NAT Onto the Same Network ;)

zaterdag 18 september 2004 21:15

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Paul Nieuwkamp schreef op 18 september 2004 @ 18:00:
En als je 2 ip's aan die nic hangt, in 2 subnets? Moet je hetzelfde doen op de Windows-doos natuurlijk.
Afaik kan Linux (ook) routen over virtuele interfaces.
Dat eerste heb ik nooit getest, wat betreft virtuele interfaces : Die gedragen zich niet anders als echte, dus wat dat betreft zie ik geen problemen.

zaterdag 18 september 2004 21:17

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Dawns_sister schreef op 18 september 2004 @ 18:44:
De PREROUTING chain van de nat tables wordt toch getraversed voor de routing? Nadat de destination ip is veranderd wordt het packet dan toch gewoon geforward, via de zelfde interface maar dat mag toch geen probleem zijn.

Zal het eens testen (meten is weten :))
Als je adressen gaat veranderen zodat ze in een ander subnet zitten kan dat ja. Ik vind het zelf echter een vreselijk lelijke oplossing.

zaterdag 18 september 2004 21:18

Acties:
  • MikeN
  • Registratie: April 2001
  • Laatst online: 16:45

MikeN

Mis ik iets waardoor een simpele SSH tunnel/portforwarding niet mogelijk is? (Is niet de vraag, wel het makkelijkste antwoord, geen gekloot met iptables of wat dan ook)

zondag 19 september 2004 14:25

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 08-09-2025

Haranaka

Topicstarter
Thanks MikeN voor de tip , ik heb het nu draaien over een ssh tunnel. Ik moet zeggen dat dit super werkt!

Om de search compleet te maken, hier een howto over remote desktop over een ssh tunnel:
http://www.engr.wisc.edu/computing/best/rdesktop-putty.html

Met deze aanvulling voor het gebruiken van RDP vanaf een XP machine (kan namelijk niet standaard connecten naar localhost)
http://www.linuxquestions...ostid=1103333#post1103333

...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq