ubuntuusers.de

via DuckDuckGo

Problem mit iptables Portforwarding - Knoten im Hirn?

Status: Gelöst | Ubuntu-Version: Server 12.04 (Precise Pangolin)
Antworten |

Gism0

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
10. Mai 2012 11:04 (zuletzt bearbeitet: 10. Mai 2012 11:09)

Hallo,

ich hoffe mal das ich an dieser Stelle richtig bin. Ich beschäftige mich berufsbedingt seit Montag mit iptables und bin langsam am verzweifeln.

Ziel ist: Ein Ersatz für Fli4l zu schaffen. Also ein Netzwerkrouter der Portforwarding + Firewall + VPN anbietet.

Die DNS weiterleitung und das Forwarding von innen nach außen (eth1 = innen ; eth0 = außen) klappt auch soweit.

Hier meine /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# The loopback network interface
auto lo
iface lo inet loopback

# The int network interface
auto eth1
iface eth1 inet static
address 172.17.2.56
netmask 255.255.255.0
gateway 172.17.2.2

# The ext network interface
auto eth0
iface eth0 inet static
address 192.168.30.1
netmask 255.255.255.0


up /sbin/sysctl -w net.ipv4.ip_forward=1

######################
# dnsmasq neu starten#
######################

up /etc/init.d/dnsmasq restart

######################################
# nameserver setzen zur DNS aufl�sung#
######################################
post-up /bin/echo 'nameserver 127.0.0.1' | tee /var/run/dnsmasq/resolv.conf
  post-up /bin/echo 'nameserver 172.17.2.1' | tee -a /var/run/dnsmasq/resolv.conf
   post-up /bin/echo 'nameserver 172.17.2.2' | tee -a /var/run/dnsmasq/resolv.conf

pre-up iptables-restore < /etc/iptables.rules

Dazu noch die dazugehörige /etc/iptables.rules

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
# Generated by iptables-save v1.4.12 on Thu May 10 09:45:26 2012
*nat
:PREROUTING ACCEPT [134:16412]
:INPUT ACCEPT [71:10161]
:OUTPUT ACCEPT [30:2009]
:POSTROUTING ACCEPT [78:4525]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 47 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 47 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 88 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 135 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 378 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 379 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 750 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 1812 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 1813 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 3268 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 3269 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 3690 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8081 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8082 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22000 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22001 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22002 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22003 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22004 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22005 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22000 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22001 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22002 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22003 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22004 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 22005 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 7 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8 -j ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 8 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 587 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11964 -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11965 -j ACCEPT
-A PREROUTING -i eth0 -p icmp -j ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.2.1:9090
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 172.17.2.1:9090
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22000 -j DNAT --to-destination 172.17.2.123:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22001 -j DNAT --to-destination 172.17.2.123:4220
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22002 -j DNAT --to-destination 172.17.2.1:22002
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22003 -j DNAT --to-destination 172.17.2.124:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.17.2.1:110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 172.17.2.1:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 465 -j DNAT --to-destination 172.17.2.1:465
-A PREROUTING -i eth0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 172.17.2.1:995
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 172.17.2.1:8088
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.17.2.26:21
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 172.17.2.1:8888
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.17.2.3:443
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.2.1:8888
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20040 -j DNAT --to-destination 172.17.2.123:20040
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20042 -j DNAT --to-destination 172.17.2.123:20042
-A PREROUTING -i eth0 -p tcp -m tcp --dport 587 -j DNAT --to-destination 172.17.2.1:587
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11964 -j DNAT --to-destination 172.17.2.10:11964
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11965 -j DNAT --to-destination 172.17.2.11:11965
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20043 -j DNAT --to-destination 172.17.2.39:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20044 -j DNAT --to-destination 172.17.2.39:4220
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11963 -j DNAT --to-destination 172.17.2.25:11963
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11970 -j DNAT --to-destination 172.17.2.25:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8083 -j DNAT --to-destination 172.17.2.25:8080
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 7 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 7 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 8 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 8 -j ACCEPT
-A POSTROUTING -o eth0 -p icmp -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 47 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 47 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 88 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 88 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 135 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 137 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 138 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 378 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 379 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 587 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 663 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 750 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 1812 -j ACCEPT
-A POSTROUTING -o eth0 -p udp -m udp --dport 1813 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 3268 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 3269 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 3222 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5555 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5800 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5900 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 11964 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 11965 -j ACCEPT
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 3223 -j ACCEPT
COMMIT
# Completed on Thu May 10 09:45:26 2012
# Generated by iptables-save v1.4.12 on Thu May 10 09:45:26 2012
*filter
:INPUT ACCEPT [948:80409]
:FORWARD ACCEPT [73:3744]
:OUTPUT ACCEPT [840:113096]
-A FORWARD -s 192.168.30.0/24 -i eth1 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -d 172.17.2.123/32 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -d 172.17.2.123/32 -i eth0 -p tcp -m tcp --dport 4220 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 22002 -j ACCEPT
-A FORWARD -d 172.17.2.124/32 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 8088 -j ACCEPT
-A FORWARD -d 172.17.2.26/32 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 8888 -j ACCEPT
-A FORWARD -d 172.17.2.3/32 -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 8888 -j ACCEPT
-A FORWARD -d 172.17.2.123/32 -i eth0 -p tcp -m tcp --dport 20040 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 20042 -j ACCEPT
-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -d 172.17.2.10/32 -i eth0 -p tcp -m tcp --dport 11964 -j ACCEPT
-A FORWARD -d 172.17.2.11/32 -i eth0 -p tcp -m tcp --dport 11965 -j ACCEPT
-A FORWARD -d 172.17.2.39/32 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -d 172.17.2.39/32 -i eth0 -p tcp -m tcp --dport 4220 -j ACCEPT
-A FORWARD -d 172.17.2.25/32 -i eth0 -p tcp -m tcp --dport 11963 -j ACCEPT
-A FORWARD -d 172.17.2.25/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 172.17.2.25/32 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Thu May 10 09:45:26 2012

Leider routet er mich nicht weiter wenn ich mich via eth0 verbinde und dann z.B. 192.168.30.1:8888 im Browser aufrufe

Denn eigentlich sollte ich dann bei 172.17.2.1:8888 ankommen.

Nun meine Frage:

Was übersehe ich? Wo sitzt der Elefant den ich nicht entdecke?

Gruß Gism0

P.S. die Policys werden dann wenn die config steht natürlich noch auf REJECT bzw DROP gesetzt.

raptor2101

Anmeldungsdatum:
8. Juni 2009

Beiträge: 1249

Wohnort: Stuttgart, Deutschland
Zitieren
10. Mai 2012 13:21

mach mal bitte folgendes und poste den output

iptables -L -v -n
iptables -t nat -L -v -n

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
10. Mai 2012 13:27

Ausgabe für iptables -L -v -n

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Chain INPUT (policy ACCEPT 521 packets, 64836 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 808 packets, 42146 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth1   eth0    192.168.30.0/24      0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  353 17888 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:9090
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:9090
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.123         tcp dpt:8080
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.123         tcp dpt:4220
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:22002
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.124         tcp dpt:8080
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:110
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:25
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:465
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:995
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:8088
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.26          tcp dpt:21
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:8888
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.3           tcp dpt:443
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:8888
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.123         tcp dpt:20040
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:20042
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.1           tcp dpt:587
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.10          tcp dpt:11964
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.11          tcp dpt:11965
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.39          tcp dpt:8080
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.39          tcp dpt:4220
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.25          tcp dpt:11963
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.25          tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            172.17.2.25          tcp dpt:8080

Chain OUTPUT (policy ACCEPT 262 packets, 25332 bytes)
 pkts bytes target     prot opt in     out     source               destination

Ausgabe für iptables -t nat -L -v -n

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
Chain PREROUTING (policy ACCEPT 566 packets, 53886 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6   304 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:47
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:47
   24  1499 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:88
    1    52 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:135
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:378
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:379
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:465
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:750
    1    52 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1812
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1813
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:3268
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:3269
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:3690
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080
    9   456 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8082
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22000
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22001
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22002
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22003
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22004
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22005
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22000
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22001
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22002
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22003
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22004
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:22005
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:7
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:7
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:8
   92  4784 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11964
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11965
    0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081 to:172.17.2.1:9090
  118  6136 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:172.17.2.1:9090
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22000 to:172.17.2.123:8080
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22001 to:172.17.2.123:4220
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22002 to:172.17.2.1:22002
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22003 to:172.17.2.124:8080
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:110 to:172.17.2.1:110
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25 to:172.17.2.1:25
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:465 to:172.17.2.1:465
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995 to:172.17.2.1:995
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8082 to:172.17.2.1:8088
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 to:172.17.2.26:21
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8888 to:172.17.2.1:8888
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:172.17.2.3:443
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 to:172.17.2.1:8888
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:20040 to:172.17.2.123:20040
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:20042 to:172.17.2.123:20042
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587 to:172.17.2.1:587
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11964 to:172.17.2.10:11964
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11965 to:172.17.2.11:11965
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:20043 to:172.17.2.39:8080
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:20044 to:172.17.2.39:4220
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11963 to:172.17.2.25:11963
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:11970 to:172.17.2.25:22
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8083 to:172.17.2.25:8080

Chain INPUT (policy ACCEPT 179 packets, 30800 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 73 packets, 4553 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 572 packets, 31473 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:7
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:7
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:8
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:8
    0     0 ACCEPT     icmp --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:20
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:25
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:47
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:47
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:88
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:88
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:110
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:135
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:137
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:138
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:378
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:379
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:389
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:445
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:465
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:587
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:663
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:750
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:995
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:1812
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:1813
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:3268
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:3269
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:5190
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:3222
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:5555
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:8080
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:5800
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:5900
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:11964
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:11965
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:3223

mickydoutza

Avatar von mickydoutza

Anmeldungsdatum:
31. Dezember 2010

Beiträge: 2185
Zitieren
10. Mai 2012 14:45

Gism0 schrieb:

Ich beschäftige mich berufsbedingt seit Montag mit iptables und bin langsam am verzweifeln.

...

-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT

-A PREROUTING -i eth0 -p tcp -m tcp --dport 47 -j ACCEPT

...

-A POSTROUTING -o eth0 -p tcp -m tcp --dport 587 -j ACCEPT

-A POSTROUTING -o eth0 -p tcp -m tcp --dport 663 -j ACCEPT

...

Warum willst Du die PREROUTING chain und die POSTROUTING chain (mit filter Tabelle) als Paketfilter benutzen und deren default policy auf evtl. DROP oder REJECT setzen? Diese chains werden i. d. R. für NAT (-t nat) verwendet. Mit der filter Tabelle werden i. d. R. die INPUT, FORWARD und OUTPUT chains verwendet.

-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.2.1:8888

-A PREROUTING -i eth0 -p tcp -m tcp --dport 20040 -j DNAT --to-destination 172.17.2.123:20040

Für das DNAT-target in der PREROUTING chain wird die nat-Tabelle (-t nat) benutzt.

...

-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT

-A FORWARD -d 172.17.2.1/32 -i eth0 -p tcp -m tcp --dport 995 -j ACCEPT

Statt für jeden dport eine eigene Regel, kann man "-m multiport" und "--dports" in einer (evtl. einzigen) Regel benutzen.

Wenn Du die default policy der chains auf DROP/REJECT setzt, dann denke nach, welche Zugänge (zu Diensten) in die eine oder in die andere Richtung noch benötigt werden. Bevor Du weiter machst, solltest dich mit den iptables basics beschäftigen.

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
10. Mai 2012 15:24

mickydoutza schrieb:

Warum willst Du die PREROUTING chain und die POSTROUTING chain (mit filter Tabelle) als Paketfilter benutzen und deren default policy auf evtl. DROP oder REJECT setzen? Diese chains werden i. d. R. für NAT (-t nat) verwendet. Mit der filter Tabelle werden i. d. R. die INPUT, FORWARD und OUTPUT chains verwendet.

Ich nutze dafür eigentlich den Befehl:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
##########################################
# Eingangsregel für externe Schnittstelle#
##########################################

iptables -t nat -A PREROUTING -i eth0 -p icmp -j ACCEPT			 #ping
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j ACCEPT		#ftp
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j ACCEPT		#smtp
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 47 -j ACCEPT		#pptp (data)
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 47 -j ACCEPT		#pptp (data)
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j ACCEPT		#dns
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 88 -j ACCEPT		#Kerberos IV-Authentifizierungsprotokoll
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j ACCEPT		#pop3
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 135 -j ACCEPT		#rpc
...

Das was du in der /etc/iptables.rules siehst, ist das was iptables-save > /etc/iptables.rules daraus gemacht hat.

Für das DNAT-target in der PREROUTING chain wird die nat-Tabelle (-t nat) benutzt.

gleiches hier

1
2
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 172.17.2.1:9090
iptables -A FORWARD -i eth0 -p tcp --dport 9090 -d 172.17.2.1 -j ACCEPT

Statt für jeden dport eine eigene Regel, kann man "-m multiport" und "--dports" in einer (evtl. einzigen) Regel benutzen.

guter Tipp! Danke, das werde ich gleich mal etwas übersichtlicher gestalten.

Bevor Du weiter machst, solltest dich mit den iptables basics beschäftigen.

Hier gebe ich dir volkommen recht. Dafür bleibt aber im moment keine Zeit. Wird aber bald "nachgeholt"

Ich hoffe das ich mein Problem damit noch etwas verdeutlichen konnte.

mickydoutza

Avatar von mickydoutza

Anmeldungsdatum:
31. Dezember 2010

Beiträge: 2185
Zitieren
10. Mai 2012 16:58

Gism0 schrieb:

Ich nutze dafür eigentlich den Befehl:

...

Das was du in der /etc/iptables.rules siehst, ist das was iptables-save > /etc/iptables.rules daraus gemacht hat.

OK. Bleibt trotzdem die Frage, warum Du in der PREROUTING bzw. POSTROUTING chain das ACCEPT-target benutzen willst/musst und die default policy der PREROUTING bzw. POSTROUTING chain auf DROP setzen willst/musst?

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
10. Mai 2012 17:36

Das tue ich, da ich mir erhoffe so eine art Portfilter beim Eingang und Ausgang zu haben. Also zu beschränken was darf rein und raus bzw was nicht.

Mit INPUT und OUTPUT arbeite ich an dieser Stelle nicht, da ich es so verstanden habe das diese nur für die Prozesse / Dienste gelten die auf der Maschine am laufen sind.

Diese Configuration möchte ich aber für einen Netzwerkrouter und nicht für eine einzige Maschine.

Gruß

Gism0

mickydoutza

Avatar von mickydoutza

Anmeldungsdatum:
31. Dezember 2010

Beiträge: 2185
Zitieren
10. Mai 2012 17:50

Gism0 schrieb:

Das tue ich, da ich mir erhoffe so eine art Portfilter beim Eingang und Ausgang zu haben. Also zu beschränken was darf rein und raus bzw was nicht.

Mit INPUT und OUTPUT arbeite ich an dieser Stelle nicht, da ich es so verstanden habe das diese nur für die Prozesse / Dienste gelten die auf der Maschine am laufen sind.

Diese Configuration möchte ich aber für einen Netzwerkrouter und nicht für eine einzige Maschine.

Dann geht es nicht um rein und raus, sondern um das was durch darf und auf einem Router, ist die FORWARD chain dafür zuständig.

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
10. Mai 2012 17:57

Nun kommen wir dem Problem schonmal näher, Danke dafür.

Also die ganzen Sachen die ACCEPT als Aktion haben in Forward statt PRE-/POST-ROUTING richtig?

Aber das erklärt leider noch nicht warum meine Portweiterleitung nicht funktioniert.

mickydoutza

Avatar von mickydoutza

Anmeldungsdatum:
31. Dezember 2010

Beiträge: 2185
Zitieren
10. Mai 2012 18:14 (zuletzt bearbeitet: 10. Mai 2012 18:15)

Gism0 schrieb:

Nun kommen wir dem Problem schonmal näher,

Zum weiterleiten (mit der FORWARD chain) wird z. B.: 

/sbin/sysctl -w net.ipv4.ip_forward=1

(oder gleichwertig) noch benötigt.

Also die ganzen Sachen die ACCEPT als Aktion haben in Forward statt PRE-/POST-ROUTING richtig?

Ja, aber in der richtigen Reihenfolge und (nur dann) wenn die default policy der FORWARD chain auf DROP gesetzt ist bzw. gesetzt werden soll.

Aber das erklärt leider noch nicht warum meine Portweiterleitung nicht funktioniert.

Schreibe dein iptables-Script jetzt neu und erkläre ausführlich mit Worten was dieses iptables-Script machen soll. Wenn es dann noch Unklarheiten gibt, dann schauen wir weiter.

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
11. Mai 2012 09:38

Gut das Script ist nun umgeschrieben. Eine vereinfachung durch multiports ist leider nicht drin da ich im eigentlichen Config Script bei jeder Zeile eintragen soll wofür die sind.

Hier nun erstmal der inhalt der /etc/iptables.rules erstellt via iptables-save > /etc/iptables.rules

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
# Generated by iptables-save v1.4.12 on Fri May 11 09:18:01 2012
*filter
:INPUT ACCEPT [408:27722]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [435:43270]
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.123/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.123/32 -i eth0 -o eth1 -p tcp -m tcp --dport 4220 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 22002 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.124/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8088 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.26/32 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8888 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.3/32 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8888 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.123/32 -i eth0 -o eth1 -p tcp -m tcp --dport 20040 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 20042 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.1/32 -i eth0 -o eth1 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.10/32 -i eth0 -o eth1 -p tcp -m tcp --dport 11964 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.11/32 -i eth0 -o eth1 -p tcp -m tcp --dport 11965 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.39/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.39/32 -i eth0 -o eth1 -p tcp -m tcp --dport 4220 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.25/32 -i eth0 -o eth1 -p tcp -m tcp --dport 11963 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.25/32 -i eth0 -o eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -d 172.17.2.25/32 -i eth0 -o eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth1 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 47 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 47 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 88 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 135 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 378 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 379 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 750 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 1812 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 1813 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 3268 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 3269 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 3690 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 8082 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22000 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22001 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22002 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22003 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22004 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22005 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22000 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22001 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22002 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22003 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22004 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 22005 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 7 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 7 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 8 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p udp -m udp --dport 8 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 11964 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 11965 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 7 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 7 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 8 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 8 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 47 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 47 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 88 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 88 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 135 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 137 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 138 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 378 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 379 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 135 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 137 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 138 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 378 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 379 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 389 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 663 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 750 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 1812 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p udp -m udp --dport 1813 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3268 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3269 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3222 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 3223 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 5555 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 5800 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 11964 -j ACCEPT
-A FORWARD -s 174.17.2.0/24 -i eth1 -o eth0 -p tcp -m tcp --dport 11965 -j ACCEPT
COMMIT
# Completed on Fri May 11 09:18:01 2012
# Generated by iptables-save v1.4.12 on Fri May 11 09:18:01 2012
*nat
:PREROUTING ACCEPT [10:2003]
:INPUT ACCEPT [10:2003]
:OUTPUT ACCEPT [122:8560]
:POSTROUTING ACCEPT [122:8560]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.2.1:9090
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 172.17.2.1:9090
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22000 -j DNAT --to-destination 172.17.2.123:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22001 -j DNAT --to-destination 172.17.2.123:4220
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22002 -j DNAT --to-destination 172.17.2.1:22002
-A PREROUTING -i eth0 -p tcp -m tcp --dport 22003 -j DNAT --to-destination 172.17.2.124:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.17.2.1:110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 172.17.2.1:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 465 -j DNAT --to-destination 172.17.2.1:465
-A PREROUTING -i eth0 -p tcp -m tcp --dport 995 -j DNAT --to-destination 172.17.2.1:995
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 172.17.2.1:8088
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 172.17.2.26:21
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 172.17.2.1:8888
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 172.17.2.3:443
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 172.17.2.1:8888
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20040 -j DNAT --to-destination 172.17.2.123:20040
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20042 -j DNAT --to-destination 172.17.2.123:20042
-A PREROUTING -i eth0 -p tcp -m tcp --dport 587 -j DNAT --to-destination 172.17.2.1:587
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11964 -j DNAT --to-destination 172.17.2.10:11964
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11965 -j DNAT --to-destination 172.17.2.11:11965
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20043 -j DNAT --to-destination 172.17.2.39:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20044 -j DNAT --to-destination 172.17.2.39:4220
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11963 -j DNAT --to-destination 172.17.2.25:11963
-A PREROUTING -i eth0 -p tcp -m tcp --dport 11970 -j DNAT --to-destination 172.17.2.25:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8083 -j DNAT --to-destination 172.17.2.25:8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri May 11 09:18:01 2012

Leider funktioniert die Portweiterleitung noch immer nicht. Zum testen gehe ich per Crossover auf eth0 und rufe im Browser z.b. die 192.168.30.1:8081 auf. Das sollte mich Theoretisch bei der 172.17.2.1:9090 rauskommen lassen. Passiert aber leider nicht.

Gism0

(Themenstarter)

Anmeldungsdatum:
10. Mai 2012

Beiträge: 7
Zitieren
11. Mai 2012 15:30

Ich habe meinen Fehler gefunden.

Es war doch ein Elefant. Er saß auf der Leitung!

Bin ihm mit 2 Laptops + Crossover kabeln und Whireshark ans Leder gerückt

Die Weiterleitung hat eigentlich schon die ganze Zeit funktioniert.

Nur habe ich die bestehenden Server angesprochen die mit der übergebenen Adresse nichts anfangen konnten. Also haben diese es an ihr Standartgateway geschickt und nicht zurück an meinem Router.

In einem Seperaten Netz wo ich dem Server meinen Router als Standartgateway verpasste klappts dann.

Vielen Dank trotzdem für die Hilfe und bis zum nächsten mal 😉
Antworten |