Diese Seite ist unverschlüsselt! Um sicherzustellen, das Ihr Passwort nicht ausgelesen werden kann, sollten Sie auf die verschlüsselte Seite wechseln!

    Herzlich Willkommen, lieber Gast!
  Sie befinden sich hier:

  Forum » GNU/Linux » iptables nat für nur einen port?
Forum | Hilfe | Team | Links | Impressum | > Suche < | Mitglieder | Registrieren | Einloggen
  Quicklinks: MSDN-Online || STL || clib Reference Grundlagen || Literatur || E-Books || Zubehör || > F.A.Q. < || Downloads   

Autor Thread - Seiten: > 1 <
000
02.09.2005, 11:55 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


Hi,
da ich leider nix da drüber gefunden hab will ich euch mal mein prob erklären:

internes Netzwerk -> Router -> Internet

so, das interne Netzwerk hat momentan nur über Proxy (HTTP/Socks) zugriff auf das Internet. Da damit jedoch einige Programme (z.b Outlook Express, das interne Netz sind Winrechner) nicht klarkommen (fehlende proxyunterstützung) würde ich nun gerne für port 143 (imap) und port 25 NAT aktivieren. Nur: Wie mach ich das?

Wahrscheinlich ist das ziemlich simpel, ich stell mir höchstwahrscheinlich wieder nur an

Danke

Achja, da die Mailserver diverse IP's haben und es einfach zuviele clients sind ist es nicht möglich nen imapproxy zu verwenden, das kostet zu viel konfigurationsaufwand.
--
class God : public ChuckNorris { };
Dieser Post wurde am 02.09.2005 um 11:56 Uhr von FloSoft editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
001
02.09.2005, 13:38 Uhr
typecast
aka loddab
(Operator)


Geht so wie alles andere:


Code:
# musst halt noch das source netz , das genattet werden soll, und die router addresse angeben.
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx/yy --dport smtp -j SNAT --to-source zzz.zzz.zzz.zzz
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx/yy --dport imap -j SNAT --to-source zzz.zzz.zzz.zzz

--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
Dieser Post wurde am 02.09.2005 um 13:40 Uhr von typecast editiert.
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
002
02.09.2005, 15:02 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


nur was muss ich als router addresse einstellen? den schliesslich hat der router mehrere interfaces:

eth0: if zum adsl-modem
eth1: internes netz
ppp0: adsl verbindung

das problem ist nur, das sich die ppp0-verbindung ja immer ändert? muss ich statt --to-source nicht einfach -o ppp0 angeben?
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
003
02.09.2005, 15:33 Uhr
typecast
aka loddab
(Operator)


Afaik ist -o fuer SNAT nicht definiert.

Du musst die Ip des Interfaces ppp0 angeben.

Meine Firewall wird z.B. aktiviert, sobald ich mich ins Inet einwaehle (also, sobald der Rechner hochgefahren wird )

Einwaehlen funktioniert bei mir ueber das adsl-start skript:

In der config (/etc/ppp/pppoe.conf) hab ich die "Stand-alone-host Firewall" aktiviert.
Damit wird ein Skript in /etc/ppp/ aufgerufen (weiss leider nicht mehr auswendig, wie das heisst), das als Parameter die neue Ip bekommt.
In diesem Skript kannst du dann deine Firewall-Regeln platzieren.

Ansonsten kannst du dir die Ip ja ueber ifconfig holen...
--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
004
02.09.2005, 16:56 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


hmm stimmt, könnte das mit den ifup/down teilen machen, die werden ja entsprechend aufgerufen. Mal sehen. schade das da kein interface funktioniert

Ansonsten hmm, kann ich nicht einfach 0.0.0.0 eingeben? ne route aufm router von 0.0.0.0 -> internet legt das adslstartup ja an?
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
005
05.09.2005, 10:30 Uhr
typecast
aka loddab
(Operator)


Du kannst da schon 0.0.0.0 angeben. Das Problem ist dann, dass deine Packete die Source Addresse 0.0.0.0 haben

Und ich fuerchte, dass du dann keine Antwort bekommen wirst

Wenn du dir die Ausgabe von route -n mal genau anschaust, wirst du im uebrigen sehen, dass 0.0.0.0 nicht fuer eine Hostaddresse steht:


Code:
lothar:~/ipfix-> /sbin/route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
[....]
0.0.0.0         xxx.xxx.xxx.xxx    0.0.0.0         UG    0      0        0 eth1


Wie du siehst, handelt es sich dabei um ein Netz: Das Netz 0.0.0.0 mit der Netzmaske 0.0.0.0.
Jedes ausgehende Paket faellt in dieses Netz. Kann ein ausgehendes Paket keinem anderen Netz zugeordnet werden, greift dieser Eintrag in der Routing Tabelle.

Die Routing Tabelle ist im uebrigen der Grund, weswegen du kein Interface angeben kannst. Die Entscheidung, ein Paket ueber ein bestimmtes Interface zu senden, ist Sache von Ip und nicht von Netfilter!
Stell dir mal das Chaos im Kernel vor, wenn Netfilter sagt, dass ein Paket ueber eth0 raus gehen muss, Ip aber meint, dass ppp0 der richtige Weg ist
--
All parts should go together without forcing. ... By all means, do not use a hammer. (IBM maintenance manual, 1925)
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
006
05.09.2005, 14:31 Uhr
FloSoft
Medialer Over-Flow
(Administrator)


jo stimmt schon, naja muss ich mir halt was einfallen lassen. Ich hab halt gehofft das da irgendwas in der hinsicht geht egal
--
class God : public ChuckNorris { };
 
Profil || Private Message || Suche Download || Zitatantwort || Editieren || Löschen || IP
Seiten: > 1 <     [ GNU/Linux ]  


ThWBoard 2.73 FloSoft-Edition
© by Paul Baecher & Felix Gonschorek (www.thwboard.de)

Anpassungen des Forums
© by Flo-Soft (www.flo-soft.de)

Sie sind Besucher: