Re: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.

To: debian-user-german@lists.debian.org
Subject: Re: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
From: editor_and_the_bandits@gmx.de
Date: Wed, 14 Dec 2005 08:47:11 +0100
Message-id: <[🔎] 200512140847.12454.editor_and_the_bandits@gmx.de>
In-reply-to: <[🔎] 004101c6003c$f98ec940$0a00a8c0@erkan>
References: <[🔎] 004101c6003c$f98ec940$0a00a8c0@erkan>

Am Mittwoch, 14. Dezember 2005 00:28 schrieb Michael Hiller:

> Hai,

> > - Arbeitsplatz PC kann sich mit ssh zur Uni verbinden. (Fehler)

> Wenn du von einem PC mit einem ssh-client eine Verbindung zum anderen

> Rechner aufbauen willst, musst du deinem Server sagen, wohin er die Daten

> beim Rückruf senden soll, sprich zu deinem PC

> Bei mir funktionieren folgende Regeln:

> IPTABLES -A INPUT -p tcp -m state --state NEW -d $EXT_IP --dport $SSH -j

> ACCEPT

> IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport $SSH -j ACCEPT

> damit landet der Rückruf auf dem Server

> IPTABLES -A INPUT -p tcp -m state --state NEW -s $LOC_NET --dport $SSH -d \

> $LOC_IP -j ACCEPT

Das funktioniert leider nicht, weil mein Server die Verbindungen herstellt und der Arbeitsplatz PC die ssh Verbindung aufbaut.

Ich bräuchte also eine Regel, die dafür sorgt, das die Pakete eben nicht lokal auf dem Server ausgeliefert werden, sondern an den Arbeitsplatz PC weitergesandt werden. Leider handelt es sich nicht nur um einen ArbeitsPC sondern das wechselt häufiger. Deshalb kann ich keine festen Routen einstellen.

iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE

Diese Regel sollte ja eigentlich in einer Liste mitführen, wohin sie Pakete umleitet, damit sie die Antwortpakete an den richtigen PC und Port weiterleitet. Das tut sie ja auch auf anderen Netzwerkdevices, aber anscheinend nicht bei meiner Konfiguration. Und ich weiß nicht warum.

=================================================================================

Hier noch mal meine Konfig:

UNI............ --- Internet --- my Router ---Server (eth0). --- PC

Cisco VPN ==================== vpnc (vpnlink)

iptables -A PREROUTING -t mangle -p tcp -d [UNI.UNI.0.0]/16 --dport 22 -j MARK

--set-mark 3

iptabeles -A POSTROUTING -t nat -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE

iptables -A FORWARD -i vpnlink -s ! [UNI.UNI.0.0]/16 -j DROP

/sbin/ip rule add from [UNI.UNI.0.0]/16 to [UNI.UNI.0.0] /16 table 103 pref

32762

/sbin/ip rule add fwmark 3 table 103 pref 32753

/sbin/ip route add default dev vpnlink table 103

Ich will halt nicht allen Traffic über den vpnlink leiten, sondern nur bestimmte Protokolle (rdp, smb .....). SSH ist auch nur zum testen, ob es klappt.

Gruß

Reply to:

References:
- Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
  - From: "Michael Hiller" <longman@netcologne.de>

Prev by Date: Re: amavis und frozen Info-Mail
Next by Date: AW: amavis und frozen Info-Mail
Previous by thread: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Next by thread: Re: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Index(es):
- Date
- Thread