• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Ports auf einen anderen lokalen umleiten->illegal Target

A

Augur

Newbie
Hi.

Ich hab ein kleines Problem. Ich möchte mehrere externe Ports auf einen anderen umleiten. Intern funktioniert die Weiterleitung. Von extern leider nur, wenn ich auf andere Rechner im Netz weiterleite.

Wenn die Zielports auf der Firewall liegen, bekomme ich leider einen Fehler.

Fehlermeldung:
Code: 
Apr 14 12:54:03 linux kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=195.49.224.20 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=16429 PROTO=TCP SPT=56567 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (0204058401010402)

IPTables Regel (Firewall-IP: 192.168.0.1)
Code: 
        iptables -A FORWARD -p TCP --dport 443 -i ppp0 -j ACCEPT
        iptables -t nat -A PREROUTING -p TCP -i ppp0 --dport 443 -j DNAT --to-destination 192.168.0.1:22

Wenn ich ppp0 gegen eth0 austausche und intern zugreife funzt alles perfekt!!!

Danke schonmal für jeden Tipp, Nils
 
A

Anonymous

Gast
du hast nach dem --to-destination eine NEWLINE, ist das nur durch das reinkopieren so oder ist in deinem script auch eine NEWLINE? Wenn dem so ist --> einfach die ip HINTER das --to-destination eintragen, iptables kann zusammenhängende regeln in 2 zeilen nicht verarbeiten, es muss alles in einer zeile sein (pro regel)
 
OP
A

Augur

Newbie
Ne, funzte schon korrekt.


Es liegt irgendwie daran, dass ich an das Interface des internes Netzes weiterleite. Leite ich an das Interface, an dem ppp0 hängt weiter, funktioniert alles. Ist zwar nicht so rund, aber es geht jetzt.

Gruß, Nils
 
OP
A

Augur

Newbie
Code: 
iptables -A FORWARD -p TCP --dport 443 -i ppp0 -j ACCEPT
        iptables -t nat -A PREROUTING -p TCP -i ppp0 --dport 443 -j DNAT --to-destination 192.168.1.1:22

Einziger Unterschied: ich leite an das externe Interface weiter und nicht das interne. Da Port 22 bei mir sowieso offen ist, entstehen auch keine Probleme. Wenn er zu wäre, weiss ich nicht, wie es sich verhalten würde. Aber ich denke, dann würde es nicht funktionieren.


Gruß, Nils
 
A

Anonymous

Gast
man sollte vielleicht anmerken dass PREROUTING und FORWARD -j ACCEPT als Routing-Lösung nicht bei allen iptables versionen funzen, zb bei Der Linux-Distribution "Adamantix" geht sowas nüsch, entweder haben die diese Funktion gesperrt oder die eingebundene iptables-version ist einfach zu alt. Falls jemand dies wiederlegen kann (speziell für Trusted Debian) bitte ich um Korrektur!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben