portforwarding will nicht...
portforwarding will nicht...
hat schon jemand Erfahrung damit??
Problemstellung:
Habe Firewall-Rechner und einen Proxy-Rechner
Das soll transparent werden.
Kernel ist 2.2.18 und mit allen drum und dran kompiliert.(transparent proxy, firewall usw)
D.H. jeden Traffic ans Internet Ziel Port 80 soll umgeleitet werden zum Proxy-Rechner, sagen wir mal Port 8080.
Habe es probiert mit ipmasqadm mfw sah so aus:
ipchains -A input -p tcp -s $LAN -d $INET 80 -m 1
ipmasqadm mfw -A -m 1 -r 192.168.0.5 8080
wobei 192.168.0.5 jetzt hier Proxy ist.
Die Pakete durchliefen den ipchains-Befehl, sollten also auch makiert werden.
Wurden anscheinend aber nicht an den Proxy weitergereicht.....
Anderen Versuch den ich startete war mittels portfw:
ipchains -A input -p tcp -d 0/0 80 -j REDIRECT 8080
und weil ich jetzt den Proxy nicht lokal habe mit portfw:
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 192.168.0.5 8080
192.168.0.1 ist die Adresse des Firewall-REchners...
Auch da wurde nichts weitergereicht.
Allerdings konnte ich checken das der REDIRECT arbeitet.
Das funktioniert.
ipmasqadm nimmt die Konfiguration auch an.
Module
insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o
sind auch geladen.
Mittlerweile weiss ich echt nicht weiter.
Der Rechner ist auch nicht perfomant genug für einen Proxy.
Vielen Dank
Max
Problemstellung:
Habe Firewall-Rechner und einen Proxy-Rechner
Das soll transparent werden.
Kernel ist 2.2.18 und mit allen drum und dran kompiliert.(transparent proxy, firewall usw)
D.H. jeden Traffic ans Internet Ziel Port 80 soll umgeleitet werden zum Proxy-Rechner, sagen wir mal Port 8080.
Habe es probiert mit ipmasqadm mfw sah so aus:
ipchains -A input -p tcp -s $LAN -d $INET 80 -m 1
ipmasqadm mfw -A -m 1 -r 192.168.0.5 8080
wobei 192.168.0.5 jetzt hier Proxy ist.
Die Pakete durchliefen den ipchains-Befehl, sollten also auch makiert werden.
Wurden anscheinend aber nicht an den Proxy weitergereicht.....
Anderen Versuch den ich startete war mittels portfw:
ipchains -A input -p tcp -d 0/0 80 -j REDIRECT 8080
und weil ich jetzt den Proxy nicht lokal habe mit portfw:
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 192.168.0.5 8080
192.168.0.1 ist die Adresse des Firewall-REchners...
Auch da wurde nichts weitergereicht.
Allerdings konnte ich checken das der REDIRECT arbeitet.
Das funktioniert.
ipmasqadm nimmt die Konfiguration auch an.
Module
insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o
sind auch geladen.
Mittlerweile weiss ich echt nicht weiter.
Der Rechner ist auch nicht perfomant genug für einen Proxy.
Vielen Dank
Max
Re: portforwarding will nicht...
echo "1" > /proc/sys/net/ip4v/ip_forward
:ist der eigentliche Anschalter!
:ist der eigentliche Anschalter!
Re: portforwarding will nicht...
sorry hatte ich nicht gepostet.
Ist natürlich gesetzt.
Ich hatte noch verschiedene andere Sachen getestet.
Es sieht so aus als wenn ipchains läuft nur funktioniert das forwarden grundsätzlich nicht.
Ich werde noch mal Fehler in der Kernel-Konfiguration suchen.
Wird das eigentlich so selten eingesetzt???
Max
Ist natürlich gesetzt.
Ich hatte noch verschiedene andere Sachen getestet.
Es sieht so aus als wenn ipchains läuft nur funktioniert das forwarden grundsätzlich nicht.
Ich werde noch mal Fehler in der Kernel-Konfiguration suchen.
Wird das eigentlich so selten eingesetzt???
Max
Re: portforwarding will nicht...
...portforwarding in der Form die ich brauche....
Das man einen transparenten Proxy nicht mit auf der Firewall setzen will und so den Verkehr umlenken muss.
Max
Das man einen transparenten Proxy nicht mit auf der Firewall setzen will und so den Verkehr umlenken muss.
Max
Re: portforwarding will nicht...
Versuch es doch mal mit rinetd !
Ist bei SuSE unter "Netzwerk" (Glaub ich)
bye danm
Ist bei SuSE unter "Netzwerk" (Glaub ich)
bye danm
Re: portforwarding will nicht...
habe zwar kein Suse, aber was tut man nicht alles....
Danke erstmal!
rinetd scheint nichts anderes zu machen als ipmasqadm portfw
Er leitet auch "nur" die Pakete weiter die direkt an die Firewall gerichetet sind und
nicht, wie ich es brauche, die Pakete die durchgehen.
Also leider wieder nichts ! :<!--no-->-( <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Thanx Max
Danke erstmal!
rinetd scheint nichts anderes zu machen als ipmasqadm portfw
Er leitet auch "nur" die Pakete weiter die direkt an die Firewall gerichetet sind und
nicht, wie ich es brauche, die Pakete die durchgehen.
Also leider wieder nichts ! :<!--no-->-( <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Thanx Max
Re: portforwarding will nicht...
Moment !
Erstens kann ipmasqadm portfw nur an einen Port des eigenen Rechners weiterleiten..
..und zweitens: sei doch mal ein bißchen kreativ !
Leite alle ausgehenden Pakete 80 an deinen Port 8080 um.
"rinetd" Wartet dort auf Anfragen und sendet sie an deinen Proxy.
bye danm
Erstens kann ipmasqadm portfw nur an einen Port des eigenen Rechners weiterleiten..
..und zweitens: sei doch mal ein bißchen kreativ !
Leite alle ausgehenden Pakete 80 an deinen Port 8080 um.
"rinetd" Wartet dort auf Anfragen und sendet sie an deinen Proxy.
bye danm
Re: portforwarding will nicht...
bin ich doch...
also erstmal: Warum sollte ich nicht mehrere ipmasqadm portfw Regeln erstellen??
Mit verschiedenen Ziel und Remoteports??
Sollte doch gehen.
Ich habe das mit dem Umleiten so ähnlich probiert.
Hier der Inhalt meines Skriptes:
#! /bin/sh
ipchains -F
ipmasqadm mfw -F
ipmasqadm portfw -f
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_autofw.o
echo 1 > /proc/sys/net/ipv4/ip_forward
# Versuch mit ipmasqadm mfw
#ipchains -A input -p tcp -s 192.168.0.6 -d 0/0 80 -m 1
#ipmasqadm mfw -A -m 1 -r 10.0.0.9 8080
#Versuch mit portfw
ipchains -A input -p tcp -s 192.168.0.0/24 -d 0/0 80 -j REDIRECT 8080
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 10.0.0.9 8080
# maskieren
#ipchains -A forward -s 10.0.0.0/24 -j MASQ
#ipchains -A forward -s 192.168.0.0/24 -j MASQ
Zu den IPs:
192.168.0.0. Netz für die Clients.
192.168.0.1 Die Firewall mit diesen Skript.
10.0.0.9 Der Proxy im anderen Netz
Der Proxy hat als Gateway einen anderen Router der raus kommt.
Funktioniert aber definitiv wenn man ihn direkt im Browser als Proxy angibt.
Die Firewall funktioniert auch, habe gerade das Masquerading aktiviert. Sonst würde ich nicht ins Forum kommen.
Kann jetzt aber nicht dasselbe noch einmal mit rinetd ausprobieren, weil die Firewall unter Debian läuft und ich jetzt nicht installieren will.
Ich glaube auch nicht das es unbedingt was anderes wäre.
Ich glaube ich bin zu blöde dazu.... :<!--no-->-(
Trotzdem danke Daniel
Gruss Max
also erstmal: Warum sollte ich nicht mehrere ipmasqadm portfw Regeln erstellen??
Mit verschiedenen Ziel und Remoteports??
Sollte doch gehen.
Ich habe das mit dem Umleiten so ähnlich probiert.
Hier der Inhalt meines Skriptes:
#! /bin/sh
ipchains -F
ipmasqadm mfw -F
ipmasqadm portfw -f
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_mfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_portfw.o
insmod -k /lib/modules/2.2.18pre21/ipv4/ip_masq_autofw.o
echo 1 > /proc/sys/net/ipv4/ip_forward
# Versuch mit ipmasqadm mfw
#ipchains -A input -p tcp -s 192.168.0.6 -d 0/0 80 -m 1
#ipmasqadm mfw -A -m 1 -r 10.0.0.9 8080
#Versuch mit portfw
ipchains -A input -p tcp -s 192.168.0.0/24 -d 0/0 80 -j REDIRECT 8080
ipmasqadm portfw -a -P tcp -L 192.168.0.1 8080 -R 10.0.0.9 8080
# maskieren
#ipchains -A forward -s 10.0.0.0/24 -j MASQ
#ipchains -A forward -s 192.168.0.0/24 -j MASQ
Zu den IPs:
192.168.0.0. Netz für die Clients.
192.168.0.1 Die Firewall mit diesen Skript.
10.0.0.9 Der Proxy im anderen Netz
Der Proxy hat als Gateway einen anderen Router der raus kommt.
Funktioniert aber definitiv wenn man ihn direkt im Browser als Proxy angibt.
Die Firewall funktioniert auch, habe gerade das Masquerading aktiviert. Sonst würde ich nicht ins Forum kommen.
Kann jetzt aber nicht dasselbe noch einmal mit rinetd ausprobieren, weil die Firewall unter Debian läuft und ich jetzt nicht installieren will.
Ich glaube auch nicht das es unbedingt was anderes wäre.
Ich glaube ich bin zu blöde dazu.... :<!--no-->-(
Trotzdem danke Daniel
Gruss Max
Re: portforwarding will nicht...
schon mal mit iptables probiert?
wäre wirklich blöd, wenn man dafür ein userspace programm bräuchte
wäre wirklich blöd, wenn man dafür ein userspace programm bräuchte
Re: portforwarding will nicht...
iptables??
Is doch nur für 2.4. oder?
Da das Ding einfach nur laufen muss, will ich nicht Woody einsetzen.
Allerdings ob Woody oder aktuelle SuSE nehme...
Vielleicht muss ich mich damit jetzt mal auseinandersetzen.
Wäre schön vorher zu wissen ob es funzt bevor man saugt, installiert, rumfummelt und wieder feststellt das es nicht geht.
Kann ich das mittlerweile als definitiv ansehen, das dieses Problem, welches ja eigentlich zu Linux-Stärken gehört, nicht zu lösen ist mit Bordmitteln??
Max
Is doch nur für 2.4. oder?
Da das Ding einfach nur laufen muss, will ich nicht Woody einsetzen.
Allerdings ob Woody oder aktuelle SuSE nehme...
Vielleicht muss ich mich damit jetzt mal auseinandersetzen.
Wäre schön vorher zu wissen ob es funzt bevor man saugt, installiert, rumfummelt und wieder feststellt das es nicht geht.
Kann ich das mittlerweile als definitiv ansehen, das dieses Problem, welches ja eigentlich zu Linux-Stärken gehört, nicht zu lösen ist mit Bordmitteln??
Max
Re: portforwarding will nicht...
es ist definitiv mit "bordmitteln" zu lösen, die frage ist nur, ob das allein kernelseitig zu bewältigen ist oder ob man ein programm braucht, das die weiterleitung an einen anderen rechner übernimmt
ich werde das mal mit iptables (ja nur kernel 2.4) testen, könnte aber noch ein paar tage dauern
ich werde das mal mit iptables (ja nur kernel 2.4) testen, könnte aber noch ein paar tage dauern
Re: portforwarding will nicht...
das wäre super!
Ich muss mal gucken ob ich eine Kiste entbehren kann für iptables versuche.
Falls du irgendetwas feststellst, positives oder negatives, kannst du mir ja mailen.
max@osiris.de
Thanx Max
Ich muss mal gucken ob ich eine Kiste entbehren kann für iptables versuche.
Falls du irgendetwas feststellst, positives oder negatives, kannst du mir ja mailen.
max@osiris.de
Thanx Max