iptables/PREROUTING/POSTROUTING

To: debian-user-german@lists.debian.org
Subject: iptables/PREROUTING/POSTROUTING
From: Claudius Hubig <nfs_2007@chubig.net>
Date: Thu, 20 Dec 2007 19:29:35 +0100
Message-id: <20071220192935.7448bc67@zeus>

Hallo Liste,

im Thread "Rechner will an ihn geschickte Pakete nicht" beschrieb ich
ein Problem, einen Server als Gateway über OpenVPN zu nutzen.

Mittlerweile habe ich ein wenig weiter gebastelt und bin nun auf ein
- ich meine damit verbundenes - weiteres Problem gestossen: iptables
verwirft irgendwo zwischen PRE- und POSTROUTING meine Pakete.

Die entsprechende Tabelle auf dem Server sieht so aus:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
LOG        0    --  anywhere             anywhere            LOG level notice prefix `PREROUTING: ' 

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       udp  --  10.43.0.0/24         anywhere            to:y.y.y.y 
SNAT       tcp  --  10.43.0.0/24         anywhere            to:y.y.y.y
LOG        0    --  anywhere             anywhere            LOG level notice prefix `POSTROUTING: ' 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LOG        0    --  anywhere             anywhere            LOG level notice prefix `OUTPUT: ' 

10.43.0.0/24 ist mein OpenVPN-Netz, der Server soll die von dort
stammenden Pakete maskieren und ins Netz forwarden, Masquerading ist
leider nicht verfügbar (vServer); /proc/sys/net/ipv4/ip_forward steht
auf 1 - es sollte eigentlich tun. Tut es aber nicht.

Schicke ich auf dem Clienten (keine iptables-Regeln, policy auf
ACCEPT; Routen zeigen auf den Server) zwei Pakete mit "ping -c 2
google.de" los, so gehen beide Pakete beim Clienten auf tun0
(OpenVPN-Interface) raus, auf dem Server sehe ich jedoch trotz obiger
Logging-Regeln nur:

Dec 20 19:25:40 h1338327 kernel: PREROUTING: IN=tun1 OUT= MAC= SRC=10.43.0.6 DST=216.239.59.104 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=23565 SEQ=1 
Dec 20 19:25:40 h1338327 kernel: POSTROUTING: IN= OUT=venet0 SRC=10.43.0.6 DST=216.239.59.104 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=23565 SEQ=1 

(venet0 ist das Netzwerkinterface des vServers, 216.239.59.104 die
für den Test benutzte Google-IP).

Kann mir hier vielleicht jemand weiterhelfen?

Grüsse,

Claudius
-- 
Mail:         nfs_2007@chubig.net ICQ:              224491597  ,= ,-_-. =. 
Google:    clhubig@googlemail.com SIP:        x2017@ekiga.net ((_/)o o(\_))
MSN:   claudiushubig@passport.com Jabber: x2017@jabber.ccc.de  `-'(. .)`-'
Yahoo:     claudiushubig@yahoo.de HTTP: http://www.chubig.net      \_/  GNU

Reply to:

Prev by Date: Re: Tool zur Passwortverwaltung
Next by Date: Re: Externe Festplatte umpartitionieren
Previous by thread: Re: Externe Festplatte umpartitionieren
Next by thread: Neue Netzwerkkarte konfigurieren
Index(es):
- Date
- Thread