[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: komisches Portforwarding...



Hallo Andreas,

* Andreas Pakulat <apaku@gmx.de> [20050222 10:02]:
> Hi,
> 
> hab hier ein Problem, das irgendwie mit meinem Portforwarding
> zusammenhängt: 
> 
> Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
> liegt) nicht zugreifen. Sprich folgendes Setup:
> 
>            Port21 -------       Port21 -------
> I-Net ---- Port80 | PC1 | ----- Port80 | PC2 |
>            Port22 -------       Port22 -------
> 	            |
> 		    |
> 		    PC3
> 
> So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
> FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
> auf den FTP-Server (mit der IP des ISDN-Interfaces). 

Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem
öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet
und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist
normal.

Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und
Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut,
das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3.
Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er
seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts
anfangen.

Im Prinzip das gleiche passiert auch wenn du von PC1 aus anfragst. Eine
Antwort kommt zurück an PC1, durchläuft also nicht das NAT weil sie
nicht über das geNATtete Interface ISDN läuft.

> Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
> brauche um mein Portforwarding zu testen?

Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
mit MASQUERADE oder SNAT auf deine öffentliche IP "NATten". Das ist
aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
nicht mehr von denen von außen unterscheiden kann.

Grüße, Felix

-- 
 | /"\   ASCII Ribbon   | Felix M. Palmen (Zirias)    http://zirias.ath.cx/ |
 | \ / Campaign Against | fmp@palmen.homeip.net      encrypted mail welcome |
 |  X    HTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt             |
 | / \     And News     | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |

Attachment: signature.asc
Description: Digital signature


Reply to: