Port Forwarding

[wolfi666]

Hallo... ich möchte von außen auf meinen internen FTP-Server zugreifen... Dafür habe ich folgendes an der Firewall geändert...

iptables -A PREROUTING -t nat -p tcp -d ppp0 --dport 20 -j DNAT --to 10.0.1.50:20
iptables -A PREROUTING -t nat -p tcp -d ppp0 --dport 21 -j DNAT --to 10.0.1.50:21

anscheinend reicht das aber nicht ganz... ich komme nach wie vor
nicht von außen drauf (und ich meine wirklich von außen, dass es von innen nicht gehen würde über diese IP ist mir durchaus bewusst)....

hier meine Firewall-Konfiguration:

# Generated by iptables-save v1.2.9 on Mon Sep 10 11:36:00 2007
*mangle
:PREROUTING ACCEPT [5:382]
:INPUT ACCEPT [5:382]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:669]
:POSTROUTING ACCEPT [2:669]
COMMIT
# Completed on Mon Sep 10 11:36:00 2007
# Generated by iptables-save v1.2.9 on Mon Sep 10 11:36:00 2007
*nat
:PREROUTING ACCEPT [38916:6496690]
:POSTROUTING ACCEPT [18568:1119495]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.1.14:3128 
-A POSTROUTING -s 10.0.1.0/255.255.255.0 -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Mon Sep 10 11:36:00 2007
# Generated by iptables-save v1.2.9 on Mon Sep 10 11:36:00 2007
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Cid29C23C72.0 - [0:0]
:RULE_0 - [0:0]
:RULE_5 - [0:0]
:ppp0_In_RULE_0 - [0:0]
:ppp0_Out_RULE_1_3 - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -s 217.93.21.115 -i ppp0 -j ppp0_In_RULE_0 
-A INPUT -s 10.0.1.14 -i ppp0 -j ppp0_In_RULE_0 
-A INPUT -s 10.0.1.0/255.255.255.0 -i ppp0 -j ppp0_In_RULE_0 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i tun0 -j ACCEPT 
-A INPUT -f -j RULE_0 
-A INPUT -s 83.221.229.100 -d 217.93.21.115 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT 
-A INPUT -s 84.186.88.56 -d 217.93.21.115 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT 
-A INPUT -d 217.93.21.115 -p tcp -m tcp --dport 10000 -m state --state NEW -j ACCEPT 
-A INPUT -d 217.93.21.115 -p udp -m udp --dport 5001 -m state --state NEW -j ACCEPT 
-A INPUT -s 10.0.1.0/255.255.255.0 -d 10.0.1.14 -p tcp -m multiport --dports 53,3128,10000,22 -m state --state NEW -j ACCEPT 
-A INPUT -s 10.0.1.0/255.255.255.0 -d 10.0.1.14 -p udp -m multiport --dports 53,67 -m state --state NEW -j ACCEPT 
-A INPUT -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j ACCEPT 
-A INPUT -s 10.0.1.0/255.255.255.0 -p tcp -m multiport --dports 110,25,443,21,20,8000 -m state --state NEW -j ACCEPT 
-A INPUT -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 7899 -m state --state NEW -j ACCEPT 
-A INPUT -d 10.1.0.1 -m state --state NEW -j ACCEPT 
-A INPUT -j RULE_5 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 217.93.21.115 -i ppp0 -j ppp0_In_RULE_0 
-A FORWARD -s 10.0.1.14 -i ppp0 -j ppp0_In_RULE_0 
-A FORWARD -s 10.0.1.0/255.255.255.0 -i ppp0 -j ppp0_In_RULE_0 
-A FORWARD -o ppp0 -j Cid29C23C72.0 
-A FORWARD -f -j RULE_0 
-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j ACCEPT 
-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m multiport --dports 110,25,443,21,20,8000 -m state --state NEW -j ACCEPT 
-A FORWARD -s 10.0.1.0/255.255.255.0 -p tcp -m state --state NEW -j ACCEPT 
-A FORWARD -j RULE_5 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o ppp0 -j Cid29C23C72.0 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -o tun0 -j ACCEPT 
-A OUTPUT -f -j RULE_0 
-A OUTPUT -s 217.93.21.115 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 217.93.21.115 -p tcp -m multiport --dports 53,80,443,21,20,22,25,7899 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 217.93.21.115 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 217.93.21.115 -p udp -m udp --dport 5001 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --sport 20 --dport 1024:65535 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 10.0.1.0/255.255.255.0 -p tcp -m multiport --dports 110,25,443,21,20,8000 -m state --state NEW -j ACCEPT 
-A OUTPUT -s 10.0.1.0/255.255.255.0 -p tcp -m tcp --dport 7899 -m state --state NEW -j ACCEPT 
-A OUTPUT -d 10.1.0.1 -m state --state NEW -j ACCEPT 
-A OUTPUT -j RULE_5 
-A Cid29C23C72.0 -s 217.93.21.115 -o ppp0 -j RETURN 
-A Cid29C23C72.0 -s 10.0.1.14 -o ppp0 -j RETURN 
-A Cid29C23C72.0 -s 10.0.1.0/255.255.255.0 -o ppp0 -j RETURN 
-A Cid29C23C72.0 -o ppp0 -j ppp0_Out_RULE_1_3 
-A RULE_0 -j LOG --log-prefix "RULE 0 -- DENY " --log-level 6 
-A RULE_0 -j DROP 
-A RULE_5 -j LOG --log-prefix "RULE 5 -- DENY " --log-level 6 
-A RULE_5 -j DROP 
-A ppp0_In_RULE_0 -j LOG --log-prefix "RULE 0 -- DENY " --log-level 6 
-A ppp0_In_RULE_0 -j DROP 
-A ppp0_Out_RULE_1_3 -j LOG --log-prefix "RULE 1 -- DENY " --log-level 6 
-A ppp0_Out_RULE_1_3 -j DROP 
COMMIT
# Completed on Mon Sep 10 11:36:00 2007

Vielen Dank im voraus,
Robert

 

[jengelh]

20 leitet man nicht weiter, und du musst ip_nat_ftp auf dem NAT-Router laden.

 

[wolfi666]

wieso sollte man 20 nicht weiterleiten? das ist der datenport von ftp...
das ftp modul ist geladen...

greets, robert

 

[jengelh]

Wer sagt denn, dass die Datenleitung immer 20 sein muss? Also.
Den Rest macht ip_nat_ftp.

 

[framp]

ftp hat ein sehr extravagantes Protokoll. Nimm ip_nat_ftp.