Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptables PREROUTING/POSTROUTING nach --source kann nicht gefiltert werden

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
trinty_get_the_matrix
Gast





BeitragVerfasst am: 08. Jun 2004 16:59   Titel: iptables PREROUTING/POSTROUTING nach --source kann nicht gefiltert werden

HI,
Ich habe endlich erfolgreich ein Portforwarding hinbekommen.
Zwar für folgendes Szenario:(nur ein Testszenario)

Client (172.16.31.202) schickt eine Anfrage an "Router"(172.16.31.119) über http auf Port 8000 und wird über iptables an den Webserver(172.16.31.200) an Port 80 weitergeleitet.Und der Client bekommt ein nettes html-doc zurück.
so weit die Theorie.
Praktisch, hab ich das so verwirklicht:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination 172.16.31.200:80
echo 1 > /proc/sys/net/ipv4/ip_forward

und das funktioniert super.
Nun möchte ich jedoch diese Weiterleitung auf eine bestimmte IP oder ein bestimmtes Subnetz begrenzen. Hierfür bietet iptables ja das --source Argument.
OK.So sehen meine Versuche aus das ganze nur für 172.16.31.202 zu erlauben:

iptables -t nat -A PREROUTING -p tcp --source 172.16.31.202 --dport 8000 -j DNAT --to-destination 172.16.31.200:80

#oder
iptables -t nat POSTROUTING -p tcp -d 172.16.31.200 --dport 80 -j SNAT --to-source 172.16.31.202
#oder nur den Client beim Ausgang maskieren

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.31.202 -j MASQUERADE

Ja, leider sind diese Versuche fehlgeschlagen, obwohl ich meinem Halbwissen nach finde daß es klappen sollte. Rolling Eyes
Ich habe echt großen Respekt vor denen die fitt in der Materie sind
Vielleicht kann ich ja im INPUT chain alle anderen IP's sperren, jedoch dachte ich dass dort nur Pakete die an lokale Prozesse gerichtet sind, behandelt werden. Aber iss jetzt iptables selbst auch so ein lokaler Prozess...........?
Also ich bin offensichtlich sehr verwirrt bei dieser Thematik.Ich hoffe mir kann jemand auf die Sprünge helfen, dafür wär ich echt dankbar und ich freu mich über jede Antwort!
Danke schon mal, dass du bis hier gelesen hast........... Wink
eure trinity
 

Otto
Gast





BeitragVerfasst am: 09. Jun 2004 11:48   Titel:

IP=172.16.31.202
# Was nicht erlaubt wird ist gesperrt
iptables -P FORWARD DROP
# Zum Client
iptables -A FORWARD -d $IP -j ACCEPT
# Vom Client
iptables -A FORWARD -s $IP -j ACCEPT

HTH
 

trinty_get_the_matrix
Gast





BeitragVerfasst am: 14. Jun 2004 8:27   Titel:

Danke Otto, für deine Antwort!
MIt diesen zusätzlichen Einträgen könnt es auch klappen, hab das jetz nicht getestet.
Aber mit
#
iptables -t nat -A PREROUTING -p tcp -s $SOURCEIP --dport $PORT -j DNAT -- to-destination X.X.X.X:Y
#
($SOURCEIP = deine Quelladresse, $PORT = der Zielport,
x.x.x.x=Umgeleitet IP, y=Umgeleiteter Port)

funktionniert das super, der Fehler lag wohl bei mir.........Danke für das Interesse Wink
Ein wirklich guter Link von dieser Seite hat mir sehr dabei geholfen...........
http://www.pl-forum.de/t_netzwerk/iptables.html
bis zum nächsten mal , denn eure
trinty_get_the_matrix
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy