[LinuxOB] Firewall
Christian Hesse
christian.hesse at lugor.de
So Jan 11 17:31:38 CET 2004
On Sunday 11 January 2004 14:42, Sven Borkert wrote:
> Am Sonntag, 11. Januar 2004 02:49 schrieb Christian Hesse:
>
> Hi Christian!
>
> > BTW, weiß jemand wie ich Port 1080 per iptables an den Port 80 eines
> > anderen Rechners weiterleiten kann?
>
> Jo, das geht indem man mit dem DNAT Target die Zieladresse ändert:
>
> iptables -A PREROUTING -t nat -p tcp -i $EXTIF -d $ANY --dport 1080 -j DNAT
> --to 192.168.0.123:80
>
> Ich hatte solche Einträge eigentlich in deinem Forward Script erwartet,
> daher guckte ich da gerade mal rein und es stellte sich mir die Frage: Was
> genau bezweckst du mit dieser Zeile?:
>
> iptables -A FORWARD -p udp -i ppp0 --dport 1080 -d $LOCAL_IP -j ACCEPT
>
> Durch "FORWARD" gehen nur Pakete die nicht an den lokalen Rechner
> adressiert sind, diese Zeile macht also so nicht wirklich Sinn.
Also ich habe ein wenig zu viel in dem Script aufgeräumt, der obere Befehl
wird natürlich auch gebraucht.
Das ganze Funktioniert natürlich auch wenn man auf einen anderen Port
weiterleitet, nur halt nicht dann, wenn man die FORWARD-Regel dazu vergisst.
So wurde zwar der Header umgeschrieben, das Paket durfte dann allerdings
nicht geroutet werden. War gestern wohl doch zu spät...
> Die Grafik am Ende dieser Seite hier zeigt wie Packete das Netfilter System
> durchlaufen:
>
> http://www.faqs.org/docs/iptables/traversingoftables.html
Das ist auf jeden Fall mal eine nette Sache.
Gruß
Christian
--
Linux - Damit der Ausmehmefehler nicht zur Regel wird.
Mehr Informationen über die Mailingliste linux