[IPTables] Portforwarding probleem - Linux en overige clients

dinsdag 26 oktober 2004 22:36

Acties:

'ON ERROR RESUME NEXT

Topicstarter

Ik zit met een klein irritant probleempje met mijn portforwarding, ik deel via een debian bak met iptbales internet over de pc's op de lan.
Nou heb ik een stapel portforwarding regels ingevoerd, die op zich ook werken [buitenwereld kan bij mijn ingestelde services]. Maar ik kan o pdie poort NIET meer naar de buitenwereld.

Voorbeeldje:

code:

#Remote desktop
echo "Forwarding Remote Desktop to .10"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 3389 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.10

Op deze manier kan ik vanaf buitenaf remote inloggen op mijn windows-PC op 192.168.0.10. Maar als ik naar een PC op internet wil connecten vanaf mijn PC, dan lukt dat niet.
Nou is dat met remote desktop niet zo'n probleem, want dat gebruik ik toch niet zo veel, maar ik wil een ftp server draaien op een interne PC en dan kan ik dus niet meer naar externe FTP's.

Hier de algemene regels van het firewall script:

code:

echo " Clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

echo " FWD: Allow all connections OUT and only existing and related ones IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Daaronder pas ik de regels als boven [remote desktop] toe. Nou heb ik het gevoel dat ik iets fout doe met mijn iptables regels, maar ik kom er niet uit wat er nou exact fout gaat.

Ik heb mijn hele rc.firewall hier online gezet.

tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/

dinsdag 26 oktober 2004 22:43

Acties:

RvdH

Uitvinder van RickRAID

StarLite schreef op 26 oktober 2004 @ 22:36:

code:

#Remote desktop
echo "Forwarding Remote Desktop to .10"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 3389 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.10

Maak eens van die tweede regel:

code:

1	$IPTABLES -t nat -A PREROUTING -i $EXTIF -o $INTIF -p tcp --dport 3389 -j DNAT --to 192.168.0.10

Maakt dat verschil?

dinsdag 26 oktober 2004 22:45

Acties:

StarLite

'ON ERROR RESUME NEXT

Topicstarter

dan krijg ik de melding

code:

1	iptables v1.2.9: Can't use -o with PREROUTING

tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/

dinsdag 26 oktober 2004 23:12

Acties:

Wilke

En da's nogal logisch, want voor het routen weet de kernel natuurlijk nog niet wat de 'out-interface' zal gaan worden. Da's namelijk juist wat tijdens het routen bepaald wordt

woensdag 27 oktober 2004 00:05

Acties:

Gondor

De regel van RickJansen gebruiken maar dan zonder '-o $INTIF ', dus:

code:

1 2	$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 3389 \ -j DNAT --to 192.168.0.10

En het lijkt mij is zeker niet onverstandig om '-i $EXTIF' aan al je prerouting regels toe te voegen.

[ Voor 6% gewijzigd door Gondor op 27-10-2004 00:06 ]

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-

woensdag 27 oktober 2004 00:42

Acties:

StarLite

'ON ERROR RESUME NEXT

Topicstarter

Ah dank, dat lijkt het probleme op te lossen, soms is de oplossing zo simpel

tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/