Instigator Skrevet 14. mars 2002 Del Skrevet 14. mars 2002 Jeg bruker iptables til å nat og firewall. Hvordan skal jeg gjøre det (vis gjerne hele syntaxen), hvis jeg vil at en pakke som kommer inn på port 80 til den externe ipadressen skal forward'es til en intern ipadresse til en annen bestemt port, f.eks. til ip adresse 192.168.0.22 og port 88(BARE et eksempel)? [ Denne Melding var redigert av: Instigator på 2002-03-14 13:19 ] Lenke til kommentar
Instigator Skrevet 15. mars 2002 Forfatter Del Skrevet 15. mars 2002 Er det ingen som vet dette?? Lenke til kommentar
lurerpaa Skrevet 15. mars 2002 Del Skrevet 15. mars 2002 Quote: On 2002-03-15 09:58, Instigator skrev:Er det ingen som vet dette?? Du sier ikke så mye om hvordan du kobler til internett, men tar utgangspunkt i at du har xDSL eller kabeltilgang og dermed bruker 2 nettverkskort i server/router/firewallmaskinen (eth0 og eth1). Tar det videre for gitt at eth0 går til internett mens eth1 går til ditt LAN (evt. via Hub eller switch) Windowsmaskinen som du ønsker å kjøre ftpserver på, sitter videre på LAN med ipadressen 192.168.0.2 og ftpserveren bruker standard porten 21 (20 til kontrollport). Du har allerede enablet forwarding og maskerade echo 1 > /proc/sys/net/ipv4/ip_forward Hvis noen forsøker å koble seg f.eks til ftp-serveren din, er den synlige IP-adressen på internett lik IP-adressen til eth0. Du ønsker dermiot ikke å kjøre ftp-server på router/firewall/server maskinen og må dermed forandre på pakkene som kommer til serveren (eth0) med portnummer 20 og 21. All slik "port forwarding" eller Destination Network Address Translation (DNAT) må utføres _FØR_ routingen skjer. Du "DNAT'er" da "tcp pakken" som kommer inn eth0 merket med destinasjonsportene 20 og 21 slik at det er windowsmaskinen som skal ha den. iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2:21 iptables -t nat -A PREROUTING -p tcp --dport 20 -i eth0 -j DNAT --to 192.168.0.2:20 Den videre routingen vil nå sørge for at pakkene kommer fram. Det under er avhengig av om "default policy" i firewalloppsettet ditt, ofte er det satt til DENY. Du må i alle fall sørge for at routing av trafikk fra firewall til LAN på portene 20 og 21 er tillatt iptables -A FORWARD -p tcp -d 192.168.0.2/32 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.0.2/32 --dport 20 -j ACCEPT Lenke til kommentar
Instigator Skrevet 21. mars 2002 Forfatter Del Skrevet 21. mars 2002 Takk, så faktisk ikke at noen har svart før nå... Jeg fant faktisk ut av det... Men bra info der! Den prerouting chain'en, er den der standard? For man ser liksom ikke den med iptables -L... Hva betyr egentlig -t nat ? -t står jo for table, men jeg skjønner ikke helt dette. Er det tables inne i chainene? Hvordan ser man hvordan tablene er manipulert? Finnes det felre tabeller enn f.eks. nat, og hva gjør dem? Uansett -Takk for bra opplysninger... Lenke til kommentar
lurerpaa Skrevet 22. mars 2002 Del Skrevet 22. mars 2002 Quote: On 2002-03-21 10:25, Instigator skrev:Takk, så faktisk ikke at noen har svart før nå...Jeg fant faktisk ut av det... Men bra info der! Den prerouting chain'en, er den der standard? For man ser liksom ikke den med iptables -L...Hva betyr egentlig -t nat ? -t står jo for table, men jeg skjønner ikke helt dette. Er det tables inne i chainene? Hvordan ser man hvordan tablene er manipulert? Finnes det felre tabeller enn f.eks. nat, og hva gjør dem?Uansett -Takk for bra opplysninger... iptables er et brukerverktøy (userspace) som tillater endring av hvordan kjernen behandler (kernelspace) pakkene. Dette er mulig pga et infrastrukturpåheng til kjernen som omtales som "netfilter". Netfilter åpner bl.a for "endring(NAT)/drop(filter)/accept(filter)" av pakker på 5 steder/hooks i behandlingen av pakker i kjernen (se http://netfilter.samba.org/documentation/H...king-HOWTO.html Pakkefiltrering er iptables mest kjente funksjon, men "ip-tabeller" programmet har også andre funksjoner. Blant annet har den en tabell for NAT, mangle. Tror man kan oppgi "-t filter" om man ønsker, men filter er standard så man utelater det derfor i kommandolinjen [ Denne Melding var redigert av: lurerpaa på 2002-03-22 04:24 ] Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå