Re: Problem mit dem up command der interfaces datei

To: debian-user-german@lists.debian.org
Subject: Re: Problem mit dem up command der interfaces datei
From: Constantin Wolber <constantin@cwolber.de>
Date: Sat, 20 Jul 2002 22:47:55 +0200
Message-id: <[🔎] E17W1FQ-0001Qh-00@mrvdomng4.kundenserver.de>
Reply-to: constantin@cwolber.de
In-reply-to: <[🔎] 200207202159.29693@ellinger.de>
References: <[🔎] E17VzhW-0006Ss-00@mrvdomng4.kundenserver.de> <[🔎] E17W0Cv-0007SG-00@mrvdomng4.kundenserver.de> <[🔎] 200207202159.29693@ellinger.de>

Samstag, 20. Juli 2002 22:25 schrieb Rainer Ellinger:
> Constantin Wolber schrieb:
> > Also folgende Zeile macht das z.B. ziemlich kompliziert
> > iptables -A PREROUTING -t nat -p tcp -d $INETIP --dport 80 -j DNAT
> > --to 192.168.120.2:80
>
> Wie sieht das Netz aus? Ist das nur ein einziger Host oder reden wir
> von einem Gateway, das externe IPs in eine DMZ forwarded?

Es handelt sich um einen Gateway, der externe IPs in eine DMZ forwarded

Der Rest vom Netwerk besteht aus einfachen Clients insgesamt habe ich 
also

1 Router/Gateway
1 DMZ Server
3 Clients

> Im PREROUTING siehts natürlich schlecht aus mit User-Chain. Kann man
> aber auch ohne IP formulieren:
>
> iptables --t nat -A PREROUTING -p tcp -i ppp+ -m tcp --dport 80 -j
> DNAT --to 192.168.120.2:80

in dem Augenblick kann ich aber ja von intern nur über die interne IP 
zugreifen ich würde aber halt gerne auch intern mit dem dn2go Namen auf 
den Server zugreifen können

> Nimmt alles was über ppp-irgendwas hereinkommt. Ohne -i würde die
> Regel für komplett alles gelten. ppp+, alle eth. Soll das Gate (hier
> mal als .1 angenommen) etwas eigenes auf Port 80 anbieten wollen
> (spätestens mit Port 22 wäre so eine Regel wichtig), liese sich das
> mit einer Exklusion beschreiben:
>
> iptables --t nat -A PREROUTING -p tcp -d ! 192.168.120.1 --dport 80
> -j DNAT --to 192.168.120.2:80

leider ist die Destination IP nicht mehr 192.168.120.1 wenn ich intern 
auf den dns2go Namen zugreife, sondern leider die externe IP

> Die Verwendung von /etc/init.d/iptables hat eben einige Vorteile:
>
> o Paketfilter-Regeln hängen nicht vom Zustand/Status des Interface
>   ab und sind immer aktiv.
>
> o Der gesamte Regelsatz lässt sich im laufenden Betrieb speichern.
>   Keine Fehler dür Vertipper im Setup-Skript o.ä.

Mir wäre auch eine Lösung lieber , wo ich die Regeln nur einmal laden 
müsste, aber ich weiss einfach nicht wie ich das mit meinen 
Anforderungen realisieren könnte.

Cu


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)

Reply to:

Follow-Ups:
- Re: Problem mit dem up command der interfaces datei
  - From: Rainer Ellinger <rainer@ellinger.de>

References:
- Fwd: Re: Problem mit dem up command der interfaces datei
  - From: Constantin Wolber <constantin@cwolber.de>
- Re: Problem mit dem up command der interfaces datei
  - From: Constantin Wolber <constantin@cwolber.de>
- Re: Problem mit dem up command der interfaces datei
  - From: Rainer Ellinger <rainer@ellinger.de>

Prev by Date: Hylafax und 2 Modem einer nur empfang und einer nur senden geht das?
Next by Date: Re: KDM als Standardmanager
Previous by thread: Re: Problem mit dem up command der interfaces datei
Next by thread: Re: Problem mit dem up command der interfaces datei
Index(es):
- Date
- Thread