Re: komisches Portforwarding...
Hi,
Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 10:02:15 +0100:
> hab hier ein Problem, das irgendwie mit meinem Portforwarding
> zusammenhängt:
>
> Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
> liegt) nicht zugreifen. Sprich folgendes Setup:
>
> Port21 ------- Port21 -------
> I-Net ---- Port80 | PC1 | ----- Port80 | PC2 |
> Port22 ------- Port22 -------
> |
> |
> PC3
>
> So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
> FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
> auf den FTP-Server (mit der IP des ISDN-Interfaces).
Lass mich mal raten:
Du machst das portforwarding mittels DNAT im PREROUTING auf ippp0?
ungefähr so:
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ippp0 -j DNAT --to pc2
in
http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-6.html#ss6.2
steht:
Um das Ziel von lokal generierten Paketen zu aendern, kann auch die
OUTPUT-Kette benutzt werden, das ist aber eher ungewoehnlich.
also etwa:
iptables -t nat -A OUTPUT -p tcp --dport 80 -i ippp0 -j DNAT --to pc2
> Kann es sein, dass durch das Routing entschieden wird, dass das von
> PC2 geschickte Paket mit Destination <öffentliche IP> an die
> INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und
> damit letztendlich ins Netz rausgehen würde?)
ja, nachdem die <öffentliche IP> von PC1 Ziel der Pakete ist gehen sie
in die INPUT-Queue von PC1, da ist aber kein Listener drauf, also müsste
eigentlich ein TCP-Reset die Verbindung beenden.
also entweder bastelst Du mit den iptables rum oder Du installierst
einen (Reverse)Proxy.
--
Jörg Friedrich
There are only 10 types of people:
Those who understand binary and those who don't.
Reply to: