[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problem mit dem up command der interfaces datei



Samstag, 20. Juli 2002 22:25 schrieb Rainer Ellinger:
> Constantin Wolber schrieb:
> > Also folgende Zeile macht das z.B. ziemlich kompliziert
> > iptables -A PREROUTING -t nat -p tcp -d $INETIP --dport 80 -j DNAT
> > --to 192.168.120.2:80
>
> Wie sieht das Netz aus? Ist das nur ein einziger Host oder reden wir
> von einem Gateway, das externe IPs in eine DMZ forwarded?

Es handelt sich um einen Gateway, der externe IPs in eine DMZ forwarded

Der Rest vom Netwerk besteht aus einfachen Clients insgesamt habe ich 
also

1 Router/Gateway
1 DMZ Server
3 Clients

> Im PREROUTING siehts natürlich schlecht aus mit User-Chain. Kann man
> aber auch ohne IP formulieren:
>
> iptables --t nat -A PREROUTING -p tcp -i ppp+ -m tcp --dport 80 -j
> DNAT --to 192.168.120.2:80

in dem Augenblick kann ich aber ja von intern nur über die interne IP 
zugreifen ich würde aber halt gerne auch intern mit dem dn2go Namen auf 
den Server zugreifen können

> Nimmt alles was über ppp-irgendwas hereinkommt. Ohne -i würde die
> Regel für komplett alles gelten. ppp+, alle eth. Soll das Gate (hier
> mal als .1 angenommen) etwas eigenes auf Port 80 anbieten wollen
> (spätestens mit Port 22 wäre so eine Regel wichtig), liese sich das
> mit einer Exklusion beschreiben:
>
> iptables --t nat -A PREROUTING -p tcp -d ! 192.168.120.1 --dport 80
> -j DNAT --to 192.168.120.2:80

leider ist die Destination IP nicht mehr 192.168.120.1 wenn ich intern 
auf den dns2go Namen zugreife, sondern leider die externe IP

> Die Verwendung von /etc/init.d/iptables hat eben einige Vorteile:
>
> o Paketfilter-Regeln hängen nicht vom Zustand/Status des Interface
>   ab und sind immer aktiv.
>
> o Der gesamte Regelsatz lässt sich im laufenden Betrieb speichern.
>   Keine Fehler dür Vertipper im Setup-Skript o.ä.

Mir wäre auch eine Lösung lieber , wo ich die Regeln nur einmal laden 
müsste, aber ich weiss einfach nicht wie ich das mit meinen 
Anforderungen realisieren könnte.

Cu


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)



Reply to: