Re: DNAT am Gateway - Denkfehler?
Hi,
On Tuesday 16 September 2003 21:44, Jan Luehr wrote:
> ich habe ein kleines Problem mit einem Gateway. Um eine Adresse teilweise
> umzuleiten habe ich einige Ports mit einem DNAT versehen.
> iptables -t nat -A OUTPUT -p tcp --dport 443 -d 195.14.194.6 -j DNAT
> --to-destination 192.168.4.2
>
> Dieses funktioniert bei Verbindungen vom Gateway aus wunderbar, nur wird
> diese Regel von Verbindungen ignoriert die von anderen Computern an das
> Gateway kommen. Wo liegt der Denkfehler?
IMHO brauchst Du sowas wie:
$IPTABLES -t nat -A PREROUTING -p tcp -d 195.14.194.6 --dport 443 -j DNAT
--to-destination 192.168.4.2:443
$IPTABLES -A FORWARD -p tcp -d 192.168.4.2 --dport 443 -j ACCEPT
Mit iptables durchlaufen Pakete *nicht* mehr alle "builtin chains", also nicht
jeweils INPUT, FORWARD, OUTPUT in dieser Reihenfolge. Deswegen musst Du Dein
DNAT-Forwarding über PREROUTING und FORWARD erledigen. Und deswegen
funktioniert auch wohl Deine obige Regel bei ausgehenden Verbindungen, da
diese von einem "local process" nur die OUTPUT-Chain durchlaufen müssen - und
das erlaubst Du.
Da Du auf eine "private" IP verweist, wirst Du vermutlich alle benötigten
Module für Firewalling geladen und NAT (Masquerading) bereits korrekt
aufgesetzt haben?
Anmerkungen willkommen, iptables bringt mich regelmäßig durcheinander.. ;)
Grüsse,
Frank
--
Frank Trenkamp frank at trenkamp.org
GPG fprt: 5A0C 4AE9 74A5 51F0 2D34 E7DC 67FF 32C4 0357 5653
--
lately on /.:
> My record is 55 hours of straight coding.
Followed, no doubt, by six weeks of debugging.
Reply to: