Hvordan åpne for en port med iptables?

[Instigator]

Jeg bruker iptables til å nat og firewall. Hvordan skal jeg gjøre det (vis gjerne hele syntaxen), hvis jeg vil at en pakke som kommer inn på port 80 til den externe ipadressen skal forward'es til en intern ipadresse til en annen bestemt port, f.eks. til ip adresse 192.168.0.22 og port 88(BARE et eksempel)?

 

[ Denne Melding var redigert av: Instigator på 2002-03-14 13:19 ]

[Instigator]

Er det ingen som vet dette??

[lurerpaa]

Quote:

On 2002-03-15 09:58, Instigator skrev: Er det ingen som vet dette??

Du sier ikke så mye om hvordan du kobler til internett, men tar utgangspunkt i at du har xDSL eller kabeltilgang og dermed bruker 2 nettverkskort i server/router/firewallmaskinen (eth0 og eth1).

Tar det videre for gitt at eth0 går til internett mens eth1 går til ditt LAN (evt. via Hub eller switch) Windowsmaskinen som du ønsker å kjøre ftpserver på, sitter videre på LAN med ipadressen 192.168.0.2

og ftpserveren bruker standard porten 21 (20 til kontrollport).

Du har allerede enablet forwarding og maskerade

echo 1 > /proc/sys/net/ipv4/ip_forward

 

 

 

Hvis noen forsøker å koble seg f.eks til ftp-serveren din, er den synlige IP-adressen på internett lik IP-adressen til eth0. Du ønsker dermiot ikke å kjøre ftp-server på router/firewall/server maskinen og må dermed forandre på pakkene som kommer til serveren (eth0) med portnummer 20 og 21. All slik "port forwarding" eller Destination Network Address Translation (DNAT) må utføres _FØR_ routingen skjer. Du "DNAT'er" da "tcp pakken" som kommer inn eth0 merket med destinasjonsportene 20 og 21 slik at det er windowsmaskinen som skal ha den.

 

iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2:21

iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT --to 192.168.0.2:20

 

Den videre routingen vil nå sørge for at pakkene kommer fram.

 

 

 

 

 

Det under er avhengig av om "default policy" i firewalloppsettet ditt, ofte er det satt til DENY. Du må i alle fall sørge for at routing av trafikk fra firewall til LAN på portene 20 og 21 er tillatt

 

iptables -A FORWARD -p tcp -d 192.168.0.2/32 --dport 21 -j ACCEPT

iptables -A FORWARD -p tcp -d 192.168.0.2/32 --dport 20 -j ACCEPT

[Instigator]

Takk, så faktisk ikke at noen har svart før nå...

 

Jeg fant faktisk ut av det... Men bra info der! Den prerouting chain'en, er den der standard? For man ser liksom ikke den med iptables -L...

 

Hva betyr egentlig -t nat ? -t står jo for table, men jeg skjønner ikke helt dette. Er det tables inne i chainene? Hvordan ser man hvordan tablene er manipulert? Finnes det felre tabeller enn f.eks. nat, og hva gjør dem?

 

Uansett -Takk for bra opplysninger...

[lurerpaa]

Quote:

On 2002-03-21 10:25, Instigator skrev: Takk, så faktisk ikke at noen har svart før nå... Jeg fant faktisk ut av det... Men bra info der! Den prerouting chain'en, er den der standard? For man ser liksom ikke den med iptables -L... Hva betyr egentlig -t nat ? -t står jo for table, men jeg skjønner ikke helt dette. Er det tables inne i chainene? Hvordan ser man hvordan tablene er manipulert? Finnes det felre tabeller enn f.eks. nat, og hva gjør dem? Uansett -Takk for bra opplysninger...

 

iptables er et brukerverktøy (userspace) som tillater endring av hvordan kjernen behandler (kernelspace) pakkene. Dette er mulig pga et infrastrukturpåheng til kjernen som omtales som "netfilter". Netfilter åpner bl.a for "endring(NAT)/drop(filter)/accept(filter)" av pakker på 5 steder/hooks i behandlingen av pakker i kjernen

(se http://netfilter.samba.org/documentation/H...king-HOWTO.html

Pakkefiltrering er iptables mest kjente funksjon, men "ip-tabeller" programmet har også andre funksjoner. Blant annet har den en tabell for NAT, mangle.

 

Tror man kan oppgi "-t filter" om man ønsker, men filter er standard så man utelater det derfor i kommandolinjen

 

 

[ Denne Melding var redigert av: lurerpaa på 2002-03-22 04:24 ]