Brauche Hilfe mit IPTABLES / NAT

Post Reply
Message
Author
Tilmann

Brauche Hilfe mit IPTABLES / NAT

#1 Post by Tilmann »

Hallo alle miteinander,

ich habe ein Problem mit iptables. Ich habe einen Linux Gateway Server, mit Suse 7.3. Als interfaces eth0 zum DSL Modem und eth1 ins interne Netzwerk. Jetzt mächte ich gerne auf der IP 192.168.0.5 im Internen Netzwerk einen FTP server laufen lassen, ich kriege das aber irgendwie nicht hin, aber ich weiss nicht was ich falschmache.

2 meiner Versuche:

iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.5:21
iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT --to 192.168.0.5:20

iptables -A INPUT -t nat --dport 21 -i eth0 -j DNAT --to 192.168.0.5
iptables -A INPUT -t nat --dport 20 -i eth0 -j DNAT --to 192.168.0.5


Wie gesagt, keinen Schimmer :(. Wäre nett wenn mir irgendjemand da draußen helfen könnte.

Grüsse und vielen Dank im Voraus,

Tilmann






Meine iptables Regeln:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward


#Alle loopback packete bitte aktzeptieren ;)
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT

#Nun aktzeptieren wir alle Nameserverpakete
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
#Nun aktzeptieren wir alle Nameserverpakete für Forwarding
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT


#Jetzt kümmern wir uns um die ICMP Packete
#Aktzeptieren von ICMP Packeten aus innerem Netzwerk
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
#Output Packete werden gelassen
iptables -A OUTPUT -p icmp -j ACCEPT
#Forwarden ist auch ok
iptables -A FORWARD -p icmp -j ACCEPT
#Akzeptieren von Packeten die zu laufenden Vorgängen gehören
iptables -A INPUT -i ppp0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT


#Alle Pakete die ins interne Netz rauswollen aktzeptieren
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptalbes -A OUTPUT -o eth1 -j ACCEPT


#Alle Pakete aus dem Internen netz zulassen
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

#Forwarding Rules - TCP

# Pakete aus lokalem Netz erlauben und routen
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
#RUNNING PROCESSES - TCP
#Alle TCP Packete Forwarden die zu laufenden Prozessen gehören
iptables -A FORWARD -i ppp0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT


#TCP Allgemein

#Alle Packete die zu laufenden Prozessen gehören raus und reinlassen
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT


#FORWARDING RULEZ - UDP
#Erstmal alles was rennt laufen lassen
iptables -A FORWARD -i ppp0 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT


iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

samson
Posts: 4
Joined: 10. Nov 2001 11:20
Location: Zwenkau

Re: Brauche Hilfe mit IPTABLES / NAT

#2 Post by samson »

Hallo!

Das ist einfach logisch, Du lässt ja keine neunen Verbindungen zu, sondern nur welche die Du von innen aufbaust. Da kann keiner eine Verbindung zum FTP-Server aufbauen.
(-m state NEW)
Außerdem würde ich keinen Zugang zum internen netz zulassen, lieber noch 'ne dritte Netzwerkkarte in den Gateway und eine DMZ aufbauen. Das wäre sicherer.
Samson

frank@frankweber.net

Re: Brauche Hilfe mit IPTABLES / NAT

#3 Post by frank@frankweber.net »

Warum steht oben ein -i eth0 wenns über TDSL (statt ppp0) gehen soll ? Wenns nur ein interner FTP Server sein soll wäre die eth0 ebnfalls falsch weil daran das TDSL Modem hängt.
Viel Erfolg

samson
Posts: 4
Joined: 10. Nov 2001 11:20
Location: Zwenkau

Re: Brauche Hilfe mit IPTABLES / NAT

#4 Post by samson »

Das stimmt, da hat Frank recht, bei TDSL ist die externe Interfarce immer ppp0, wird ja über die eth drübergestülpt.(eben ppp over Ethernet). So mußt Du das auch angeben.
Samson

Post Reply