Hallo alle miteinander,
ich habe ein Problem mit iptables. Ich habe einen Linux Gateway Server, mit Suse 7.3. Als interfaces eth0 zum DSL Modem und eth1 ins interne Netzwerk. Jetzt mächte ich gerne auf der IP 192.168.0.5 im Internen Netzwerk einen FTP server laufen lassen, ich kriege das aber irgendwie nicht hin, aber ich weiss nicht was ich falschmache.
2 meiner Versuche:
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.5:21
iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT --to 192.168.0.5:20
iptables -A INPUT -t nat --dport 21 -i eth0 -j DNAT --to 192.168.0.5
iptables -A INPUT -t nat --dport 20 -i eth0 -j DNAT --to 192.168.0.5
Wie gesagt, keinen Schimmer . Wäre nett wenn mir irgendjemand da draußen helfen könnte.
Grüsse und vielen Dank im Voraus,
Tilmann
Meine iptables Regeln:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Alle loopback packete bitte aktzeptieren
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
#Nun aktzeptieren wir alle Nameserverpakete
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
#Nun aktzeptieren wir alle Nameserverpakete für Forwarding
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
#Jetzt kümmern wir uns um die ICMP Packete
#Aktzeptieren von ICMP Packeten aus innerem Netzwerk
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
#Output Packete werden gelassen
iptables -A OUTPUT -p icmp -j ACCEPT
#Forwarden ist auch ok
iptables -A FORWARD -p icmp -j ACCEPT
#Akzeptieren von Packeten die zu laufenden Vorgängen gehören
iptables -A INPUT -i ppp0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#Alle Pakete die ins interne Netz rauswollen aktzeptieren
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptalbes -A OUTPUT -o eth1 -j ACCEPT
#Alle Pakete aus dem Internen netz zulassen
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
#Forwarding Rules - TCP
# Pakete aus lokalem Netz erlauben und routen
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
#RUNNING PROCESSES - TCP
#Alle TCP Packete Forwarden die zu laufenden Prozessen gehören
iptables -A FORWARD -i ppp0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#TCP Allgemein
#Alle Packete die zu laufenden Prozessen gehören raus und reinlassen
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#FORWARDING RULEZ - UDP
#Erstmal alles was rennt laufen lassen
iptables -A FORWARD -i ppp0 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Brauche Hilfe mit IPTABLES / NAT
Re: Brauche Hilfe mit IPTABLES / NAT
Hallo!
Das ist einfach logisch, Du lässt ja keine neunen Verbindungen zu, sondern nur welche die Du von innen aufbaust. Da kann keiner eine Verbindung zum FTP-Server aufbauen.
(-m state NEW)
Außerdem würde ich keinen Zugang zum internen netz zulassen, lieber noch 'ne dritte Netzwerkkarte in den Gateway und eine DMZ aufbauen. Das wäre sicherer.
Samson
Das ist einfach logisch, Du lässt ja keine neunen Verbindungen zu, sondern nur welche die Du von innen aufbaust. Da kann keiner eine Verbindung zum FTP-Server aufbauen.
(-m state NEW)
Außerdem würde ich keinen Zugang zum internen netz zulassen, lieber noch 'ne dritte Netzwerkkarte in den Gateway und eine DMZ aufbauen. Das wäre sicherer.
Samson
Re: Brauche Hilfe mit IPTABLES / NAT
Warum steht oben ein -i eth0 wenns über TDSL (statt ppp0) gehen soll ? Wenns nur ein interner FTP Server sein soll wäre die eth0 ebnfalls falsch weil daran das TDSL Modem hängt.
Viel Erfolg
Viel Erfolg
Re: Brauche Hilfe mit IPTABLES / NAT
Das stimmt, da hat Frank recht, bei TDSL ist die externe Interfarce immer ppp0, wird ja über die eth drübergestülpt.(eben ppp over Ethernet). So mußt Du das auch angeben.
Samson
Samson