portforwarding will nicht...

Post Reply
Message
Author
Max

portforwarding will nicht...

#1 Post by Max »

hat schon jemand Erfahrung damit??
Problemstellung:
Habe Firewall-Rechner und einen Proxy-Rechner
Das soll transparent werden.
Kernel ist 2.2.18 und mit allen drum und dran kompiliert.(transparent proxy, firewall usw)
D.H. jeden Traffic ans Internet Ziel Port 80 soll umgeleitet werden zum Proxy-Rechner, sagen wir mal Port 8080.
Habe es probiert mit ipmasqadm mfw sah so aus:

ipchains -A input -p tcp -s $LAN -d $INET 80 -m 1
ipmasqadm mfw -A -m 1 -r 192.168.0.5 8080
wobei 192.168.0.5 jetzt hier Proxy ist.

Die Pakete durchliefen den ipchains-Befehl, sollten also auch makiert werden.
Wurden anscheinend aber nicht an den Proxy weitergereicht.....

Anderen Versuch den ich startete war mittels portfw:

ipchains -A input -p tcp -d 0/0 80 -j REDIRECT 8080
und weil ich jetzt den Proxy nicht lokal habe mit portfw:
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 192.168.0.5 8080
192.168.0.1 ist die Adresse des Firewall-REchners...

Auch da wurde nichts weitergereicht.
Allerdings konnte ich checken das der REDIRECT arbeitet.
Das funktioniert.
ipmasqadm nimmt die Konfiguration auch an.
Module

insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o

sind auch geladen.

Mittlerweile weiss ich echt nicht weiter.
Der Rechner ist auch nicht perfomant genug für einen Proxy.

Vielen Dank
Max

gewitter
Posts: 1354
Joined: 09. Apr 2001 9:03

Re: portforwarding will nicht...

#2 Post by gewitter »

echo "1" > /proc/sys/net/ip4v/ip_forward

:ist der eigentliche Anschalter!

Max

Re: portforwarding will nicht...

#3 Post by Max »

sorry hatte ich nicht gepostet.
Ist natürlich gesetzt.
Ich hatte noch verschiedene andere Sachen getestet.
Es sieht so aus als wenn ipchains läuft nur funktioniert das forwarden grundsätzlich nicht.
Ich werde noch mal Fehler in der Kernel-Konfiguration suchen.

Wird das eigentlich so selten eingesetzt???
Max

gewitter
Posts: 1354
Joined: 09. Apr 2001 9:03

Re: portforwarding will nicht...

#4 Post by gewitter »

Was denn?

Max

Re: portforwarding will nicht...

#5 Post by Max »

...portforwarding in der Form die ich brauche....
Das man einen transparenten Proxy nicht mit auf der Firewall setzen will und so den Verkehr umlenken muss.
Max

Daniel M

Re: portforwarding will nicht...

#6 Post by Daniel M »

Versuch es doch mal mit rinetd !
Ist bei SuSE unter "Netzwerk" (Glaub ich)

bye danm

Max

Re: portforwarding will nicht...

#7 Post by Max »

habe zwar kein Suse, aber was tut man nicht alles....

Danke erstmal!
rinetd scheint nichts anderes zu machen als ipmasqadm portfw
Er leitet auch "nur" die Pakete weiter die direkt an die Firewall gerichetet sind und
nicht, wie ich es brauche, die Pakete die durchgehen.

Also leider wieder nichts ! :<!--no-->-( <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">

Thanx Max

Daniel M

Re: portforwarding will nicht...

#8 Post by Daniel M »

Moment !

Erstens kann ipmasqadm portfw nur an einen Port des eigenen Rechners weiterleiten..
..und zweitens: sei doch mal ein bißchen kreativ !

Leite alle ausgehenden Pakete 80 an deinen Port 8080 um.
"rinetd" Wartet dort auf Anfragen und sendet sie an deinen Proxy.

bye danm

Max

Re: portforwarding will nicht...

#9 Post by Max »

bin ich doch...
also erstmal: Warum sollte ich nicht mehrere ipmasqadm portfw Regeln erstellen??
Mit verschiedenen Ziel und Remoteports??
Sollte doch gehen.

Ich habe das mit dem Umleiten so ähnlich probiert.

Hier der Inhalt meines Skriptes:
#! /bin/sh

ipchains -F
ipmasqadm mfw -F
ipmasqadm portfw -f
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_autofw.o

echo 1 > /proc/sys/net/ipv4/ip_forward


# Versuch mit ipmasqadm mfw
#ipchains -A input -p tcp -s 192.168.0.6 -d 0/0 80 -m 1
#ipmasqadm mfw -A -m 1 -r 10.0.0.9 8080

#Versuch mit portfw
ipchains -A input -p tcp -s 192.168.0.0/24 -d 0/0 80 -j REDIRECT 8080
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 10.0.0.9 8080

# maskieren
#ipchains -A forward -s 10.0.0.0/24 -j MASQ
#ipchains -A forward -s 192.168.0.0/24 -j MASQ


Zu den IPs:
192.168.0.0. Netz für die Clients.
192.168.0.1 Die Firewall mit diesen Skript.

10.0.0.9 Der Proxy im anderen Netz

Der Proxy hat als Gateway einen anderen Router der raus kommt.
Funktioniert aber definitiv wenn man ihn direkt im Browser als Proxy angibt.

Die Firewall funktioniert auch, habe gerade das Masquerading aktiviert. Sonst würde ich nicht ins Forum kommen.

Kann jetzt aber nicht dasselbe noch einmal mit rinetd ausprobieren, weil die Firewall unter Debian läuft und ich jetzt nicht installieren will.
Ich glaube auch nicht das es unbedingt was anderes wäre.
Ich glaube ich bin zu blöde dazu.... :<!--no-->-(
Trotzdem danke Daniel

Gruss Max

ronny

Re: portforwarding will nicht...

#10 Post by ronny »

schon mal mit iptables probiert?

wäre wirklich blöd, wenn man dafür ein userspace programm bräuchte

Max

Re: portforwarding will nicht...

#11 Post by Max »

iptables??
Is doch nur für 2.4. oder?
Da das Ding einfach nur laufen muss, will ich nicht Woody einsetzen.
Allerdings ob Woody oder aktuelle SuSE nehme...
Vielleicht muss ich mich damit jetzt mal auseinandersetzen.
Wäre schön vorher zu wissen ob es funzt bevor man saugt, installiert, rumfummelt und wieder feststellt das es nicht geht.

Kann ich das mittlerweile als definitiv ansehen, das dieses Problem, welches ja eigentlich zu Linux-Stärken gehört, nicht zu lösen ist mit Bordmitteln??

Max

ronny

Re: portforwarding will nicht...

#12 Post by ronny »

es ist definitiv mit "bordmitteln" zu lösen, die frage ist nur, ob das allein kernelseitig zu bewältigen ist oder ob man ein programm braucht, das die weiterleitung an einen anderen rechner übernimmt

ich werde das mal mit iptables (ja nur kernel 2.4) testen, könnte aber noch ein paar tage dauern

Max

Re: portforwarding will nicht...

#13 Post by Max »

das wäre super!
Ich muss mal gucken ob ich eine Kiste entbehren kann für iptables versuche.
Falls du irgendetwas feststellst, positives oder negatives, kannst du mir ja mailen.
max@osiris.de
Thanx Max

Post Reply