20.11.2017, 22:12 UTC+1

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

Lieber Besucher, herzlich willkommen bei: Knoppix Forum | www.KnoppixForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

1

25.08.2005, 16:32

iptables von innen nach aussen

Hallo Zusammen,

ich hoffe es gibt jemanden, der sich mit iptables unter knoppix auskennt.
Ich habe hier aktuell folgendes Problem:

Es gibt ein Labor1 (192.168.1.0/24) mit Rechnern.
Es gibt ein Netzwerk2 (192.168.2.0/24) mit Rechnern+Servern.
Es gbt eine Zentrale3 (10.10.10.0/24) mit Servern.

Die Labor-Rechner d?rfen Routing ins Netzwerk2 (alle Ports) aber nicht weiter. (Firewall vor Zentrale3)
Alle Rechner+Server von Netzwerk2 d?rfen ins Zentrale3 Netz.
Ein Server im Zentrale3 Netzwerk (10.10.10.100) ist ein LDAP-Server (Port 389 und 636)

Wenn ich LDAP-Abfragen von einem Netzwerk2-Rechner an den LDAP-Server stelle, bekomme ich Antworten.
Wenn ich nun bei einem Rechner aus Labor1 die gleichen Abfragen stelle, bekomme ich nat?rlich keine Anwort.

Ein Moven des Rechners von Labor1 ins Netzwerk2 geht nicht.
Ein Aufstellen einer Knoppix-Maschine im Netzwerk2 klappt aber.

Wie bekomme ich nun Knoppix (192.168.2.99) dazu, eingehende Anfragen auf Port 389 bzw. 636 weiter zu leiten an 10.10.10.100
Also z.B.
192.168.1.20 fragt 192.168.2.99:389
192.168.2.99 leitet die Anfrage mit SEINER IP weiter an 10.10.10.100:389
10.10.10.100 antwortet
192.168.2.99 antwortet an 192.168.1.20

Ich habe hier die man-tables hoch und runter gesucht. Google bietet nur Extern auf interne (eDonkey-)Server an.
Muss den keiner sein Heimnetz forwarden ? So ?hnlich wie ein Web-Proxy ohne Cache.

Etwas (viel) ratlos
Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

2

25.08.2005, 19:24

Hi,

ich frage mich, ob das ?berhaupt funktionieren kann, zumal Du (wenn ich Dich richtig verstanden habe) nur eine eth hast. Was soll er dann routen?
Wenn ich mich recht erinnere gibt es doch die M?glich keit auf die eth eine weitere virtuelle eth zu setzen. W?re das eine M?glichkeit?

Gruss Guido :shock:

3

25.08.2005, 19:44

Musst mal gucken, ob das hier was ist:

http://portfwd.sourceforge.net/

Darueber hab' ich vor kurzem im Linux-Magazin gelesen.

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

4

26.08.2005, 11:10

Vielen Dank erstmal f?r die Antworten

Also den portfwd habe ich mir kurz angesehen, aber da muss man ja was runterladen. Mir w?re es lieber, wenn es mit boardeigenen Mitteln gehen w?rde.

Ich bin aber ein klein bisschen weiter gekommen.

Ich habe erstmal den SSHDienst gestartet, damit ich mich nicht jedesmal vor die Kiste setzen muss. (Ich erw?hne das nur, falls das hinterher noch wichtig wird)

Von einem anderen Rechner im Labor1 habe ich folgendes ausprobiert.
telnet 192.168.2.99 389
Erwartungsgem?? kam ein Connection refused
Nun habe ich auf dem Knoppix-Rechner folgendes eingegeben:
iptables -A PREROUTING -t nat --dport 389 -j DNAT --to 10.10.10.100:389
Ein erneuter telnet lief dann in einen TimeOut. Versuche mit nmap 192.168.2.99 -p 389 zeigt beim ersten Mal ein "Port closed", und nach iptables, ein "Port filtered"
Es ist also etwas "aufgegangen", aber dann verl?uft es sich im Rechner. Ein echo 1 > /proc/sys/net/ipv4/ip_forward hat auch nicht geholfen.
Ein iptables -A POSTROUTING -t nat -j MASQUERADE half nix, ist ja auch nur f?r ippp bzw. ppp.


@Guido
Du hast Recht, ich habe nur eine eth, aber ich will ja nicht routen, (von einem Netz ins Andere), daf?r haben wir Hardware-Router. Ich ben?tige ein Forwarding. Die Knoppix-Maschine soll ja nur seine IP als Fragesteller eintragen, und dann das Paket mit neuer Zieladresse wieder ins Netz schmeissen.

Weitere Anregungen sind GERNE willkommen.
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

5

28.08.2005, 13:39

Zitat von »"RalfonLinux"«


Ein iptables -A POSTROUTING -t nat -j MASQUERADE half nix, ist ja auch nur f?r ippp bzw. ppp.


Das ist nur fuer ippp/ppp?!? Wieso das denn?

6

28.08.2005, 13:44

Zitat von »"RalfonLinux"«


Also den portfwd habe ich mir kurz angesehen, aber da muss man ja was runterladen. Mir w?re es lieber, wenn es mit boardeigenen Mitteln gehen w?rde.


Das hatte ich aus dieser Ausgabe:

http://www.linux-magazin.de/Artikel/ausgabe/2005/08

Da waren noch weitere Artikel drin ueber Tunnel etc. Vielleicht generell was zum Inspiration holen. Wobei nur ein Artikel der Serie online nachzulesen ist.

7

30.08.2005, 19:27

Noch eine Idee: kaeme ein ssh-Tunnel in Frage? Da kann man von einem beliebigen Port auf einem Rechner Verbindungen an einen beliebigen Port auf einem beliebigen Rechner tunneln.

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop