[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: komisches Portforwarding...

On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote:
> * Andreas Pakulat <apaku@gmx.de> [20050222 10:02]:
> Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem
> öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet
> und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist
> normal.

:-( X11-Forward über ISDN macht aber keinen Spass... (zum Testen).

> Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und
> Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut,
> das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3.
> Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er
> seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts
> anfangen.

Sehr vereinfacht, aber das hab ich mir gedacht... 

> > Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
> > brauche um mein Portforwarding zu testen?
> 
> Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
> mit MASQUERADE oder SNAT auf deine öffentliche IP "NATten". Das ist
> aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
> nicht mehr von denen von außen unterscheiden kann.

?? Ich tue momentan folgendes fürs MASQUERADE:
iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE

Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist
denke ich, dass routing auf PC1. Wenn ein Paket ankommt läuft es durch
PREROUTING, dann routet der Rechner das Teil und stellt fest das die
Ziel-IP die des ippp0 Inteface ist, und dann denke ich schickt er es
nicht an FORWARD sondern an INPUT. Die Frage wäre also nur: Wie bringe
ich iptables dazu alle Pakete an INPUT mit --dport 21 nicht anzunehmen
sondern wieder nach FORWARD zu schieben? 

Andreas

-- 
You can do very well in speculation where land or anything to do with dirt
is concerned.
Reply to: