[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problem mit dem up command der interfaces datei

Constantin Wolber schrieb:
> Also folgende Zeile macht das z.B. ziemlich kompliziert
> iptables -A PREROUTING -t nat -p tcp -d $INETIP --dport 80 -j DNAT
> --to 192.168.120.2:80

Wie sieht das Netz aus? Ist das nur ein einziger Host oder reden wir 
von einem Gateway, das externe IPs in eine DMZ forwarded?

Im PREROUTING siehts natürlich schlecht aus mit User-Chain. Kann man 
aber auch ohne IP formulieren:

iptables --t nat -A PREROUTING -p tcp -i ppp+ -m tcp --dport 80 -j DNAT 
--to 192.168.120.2:80

Nimmt alles was über ppp-irgendwas hereinkommt. Ohne -i würde die Regel 
für komplett alles gelten. ppp+, alle eth. Soll das Gate (hier mal als 
.1 angenommen) etwas eigenes auf Port 80 anbieten wollen (spätestens 
mit Port 22 wäre so eine Regel wichtig), liese sich das mit einer 
Exklusion beschreiben:

iptables --t nat -A PREROUTING -p tcp -d ! 192.168.120.1 --dport 80 -j 
DNAT --to 192.168.120.2:80

Die Verwendung von /etc/init.d/iptables hat eben einige Vorteile:

o Paketfilter-Regeln hängen nicht vom Zustand/Status des Interface 
  ab und sind immer aktiv.

o Der gesamte Regelsatz lässt sich im laufenden Betrieb speichern.
  Keine Fehler dür Vertipper im Setup-Skript o.ä.

-- 
rainer@ellinger.de


--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: