[LinuxOB] Firewall

[Christian Hesse]

On Sunday 11 January 2004 17:31, Christian Hesse wrote:
> On Sunday 11 January 2004 14:42, Sven Borkert wrote:
> > Am Sonntag, 11. Januar 2004 02:49 schrieb Christian Hesse:
> >
> > Hi Christian!
> >
> > > BTW, weiß jemand wie ich Port 1080 per iptables an den Port 80 eines
> > > anderen Rechners weiterleiten kann?
> >
> > Jo, das geht indem man mit dem DNAT Target die Zieladresse ändert:
> >
> > iptables -A PREROUTING -t nat -p tcp -i $EXTIF -d $ANY --dport 1080 -j
> > DNAT --to 192.168.0.123:80
> >
> > Ich hatte solche Einträge eigentlich in deinem Forward Script erwartet,
> > daher guckte ich da gerade mal rein und es stellte sich mir die Frage:
> > Was genau bezweckst du mit dieser Zeile?:
> >
> > iptables -A FORWARD -p udp -i ppp0 --dport 1080 -d $LOCAL_IP -j ACCEPT
> >
> > Durch "FORWARD" gehen nur Pakete die nicht an den lokalen Rechner
> > adressiert sind, diese Zeile macht also so nicht wirklich Sinn.
>
> Also ich habe ein wenig zu viel in dem Script aufgeräumt, der obere Befehl
> wird natürlich auch gebraucht.
> Das ganze Funktioniert natürlich auch wenn man auf einen anderen Port
> weiterleitet, nur halt nicht dann, wenn man die FORWARD-Regel dazu
> vergisst. So wurde zwar der Header umgeschrieben, das Paket durfte dann
> allerdings nicht geroutet werden. War gestern wohl doch zu spät...

Es gab gerade scheinbar nochmal ein Missverständnis mit Sven. Also folgende 
Regeln erlauben es mit meiner Firewall, dass Anfragen von außen auf Port 7022 
an den Router an den Rechner 192.168.1.7, und zwar an Port 22, weitergeleitet 
werden:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 7022 -j DNAT --to-dest 
192.168.1.7:22
iptables -A FORWARD -p tcp -i ppp0 -o eth1 --dport 22 -d 192.168.1.7 -j ACCEPT

Gruß
  Christian

-- 
 Linux - Damit der Ausmehmefehler nicht zur Regel wird.