Hallo,
könnte mir evtl. jemand einen Syntax erklären, der mit SNAT und DNAT zu tun hat? Ich habe hier eine Aufgabe, in der steht, dass ein httpd und ein ftpd in einer DMZ stehen. Das ebenfalls vorhandene interne Netzwerk darf darauf zugreifen (NUR über Router) und die externen ebenfalls (NUR über Router). Das Problem ist, dass wir nur eine physikalische Schnittstelle hatten und mir so die Konfiguration über iptables mit SNAT, DNAT und MASQUERADING wesentlich schwieriger viel. Mit der folgenden Lösung hat es zwar funktioniert, aber zu viel. Ich habe ausschließlich den Port 21 freigegeben bzw. weitergeleitet und habe versucht mich über einen Rechner des internen Netzwerks zu verbinden. Das funktionierte auch, aber leider auch die Datenverbindung; egal ob aktiv oder passiv. Sie kam zustande und das darf sie ja schließlich nicht? Weiß hier jemand Rat?
Hier könnt ihr sehen, wie ich das erreicht habe, aber wo sind die Fehler? Den Apache habe ich erstmal ganz außen vor gelassen...
#!/bin/bash
#Router
#interface /intranet
ifconfig eth0 192.168.23.254 netmask 255.255.255.0 broadcast 192.168.23.255
#interface /FTP
ifconfig eth0:0 192.168.21.254 netmask 255.255.255.255 broadcast 192.168.21.254
#interface /WWW
ifconfig eth0:1 192.168.22.254 netmask 255.255.255.255 broadcast 192.168.22.254
#hostroute zum FTP
route add -host 192.168.21.1 dev eth0:0
#hostroute zum WWW
route add -host 192.168.22.1 dev eth0:1
#forwadding einschalten
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -X
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_nat
modprobe ipt_MASQUERADE
####--------------->ab hier wirds fraglich#####
iptables -A PREROUTING -t nat -p tcp -s 192.168.23.0/24 -j DNAT --to 192.168.21.1:21
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
#################################
FTP: 192.168.21.1/24
www: 192.168.22.1/24
Gruß Louie