Re: Frage zu NAT (iptables)
Am Mittwoch 15 September 2004 21:35 schrieb Werner Mahr:
> Am Mittwoch, 15. September 2004 21:13 schrieb Matthias Houdek:
> > > #Variable für eMule auf Werner1
> > > Werner1_EMULEPORT=4662 #eMule TCP PORT
> > > Werner1_EMULEUDP2=`expr $EMULEPORT + 3` #eMule PORTs für Transfers
> >
> > Error: $EMULEPORT nicht definiert.
>
> Natürlich $Werner1_EMULEPORT
>
> > Mal davon abgesehen, dass deine Variablennamen nicht vollständig sind
> > (du musst auch keine Variablen verwenden, nur die Portnummern ist
> > wesentlich kürzer - zumindest bei dir):
>
> Sorry, nano schneidet den Rest halt weg, hab ich garnicht drauf
> geachtet. Scheiß c&p. Die Variablen brauche ich nur zur besseren
> Übersicht, die Namen sind ein bisschen lang, aber an den paar Byte
> sollte es nicht liegen.
>
> > 1. Da oben steht: -A PREROUTING, also muss danach ja noch irgend
> > etwas kommen. (Stichwort: FORWARD)
>
> Nach dem Rest der Variablen folgt noch -j DNAT --to-destination mit den
> entsprechenden Host:Port-Variablen.
Das beantwortet Punkt 2 bei mir. Eine Forward-Regel braucht es trotzdem.
Außerdem muss der Kernel prinzipiell Forwarding für die betreffenden
Interfaces eingeschaltet haben.
> > 2. Sind drei tolle Regeln (Bedingungen) da oben, aber sie machen nix.
>
> Die
...?
(Leg dir mal einen besseren Editor zu ;-)
> > 3. Kommunikation besteht immer aus Hin- und Rückrichtung des
> > Datenflusses.
>
> Sollte der nicht vom NAT gemanaged werden? Ich hatte das eigentlich so
> verstanden, das die related Verbindungen (in dem Fall der Rückkanal)
> keiner separaten Regeln bedarf.
Naja, die Pakete sollten schon explizit geforwardet werden, denn ich nehme
mal an, dass die Default-Policies für INPUT, OUTPUT und FORWARD bei dir
uf das hier übliche DENY verweisen werden. Die Rückübersetzung der
Adressen erfolgt automatisch entsprechend deiner nat-Tabelle.
> > Mein Tipp: Literaturstudium (Grundlagen) - Wie werden IP-Pakete
> > Transportiert? Was ist Routing? Wie funktioniert IPTables
> > (Grundprinzip)?
>
> Grundlagen und Grundprinzip versuch ich ja gerade hinzukriegen, der
> Rest ist eigentlich soweit klar.
>
> Haben die Policies jetzt Einfluss darauf?
Na sicher doch, dafür sind sie da:
INPUT: alle für das System selbst eingehende Pakete
OUTPUT: alle vom System selbst versendete Pakete
FORWARD: alle eingehenden Pakete, die geroutet werden
Außerdem - du machst das Ganze doch sicher nur für ein LAN (mit
RFC1918-Adressen) ins Netzwerk. Warum leitest du dann nicht einfach an
MASQUERADING weiter (an Stelle von DNAT, denn das ist ja hier völlig
flasch)?
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: