xDSL.at

Alles zum Thema Breitband / Internet / Provider / Linux

DMZ a la "XY"- Router mit Linux server

Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum fĂĽr den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Antwort erstellen

DMZ a la "XY"- Router mit Linux server

Beitragvon --toody-- » Mo 02 Jun, 2003 21:15

Hi
Ich bin noch so teilweise von meinem US-Robotics DSL router mit der DMZ Option verwöhnt. Ist eigentlich kein DMZ sondern es werden jediglich alle anfragen auf ungeöffneten ports an eine einstellbare ip im LAN weitergeschickt.
Ist ein sehr krasses feature welches ich gerade versuche auf meinem Linux iptables ADSL router (mit redhat 7.3, darauf läuft ARNO´s iptables firewall script - http://rocky.molphys.leidenuniv.nl/) zum laufen zu bringen.

sehe ich es richtig, dass anstelle der ersten policity
drop packets on interface ppp0
einfach nur ein forwarding aller ports auf die lokale ip 192.168.0.189 erfolgen muss?
wenn ja/nein seid doch bitte so gnädig mir gleich diese eine zeile zu notieren ;)

vielen herzlichen
--toody--, welcher nur ungern seinen real name zusammen mit der mailadresse postet
--toody--
 
Nach oben

RE: DMZ a la "XY"- Router mit Linux serv

Beitragvon Klemens » Mo 02 Jun, 2003 23:14

Kannst es mit

iptables -t nat PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.189

probieren.

Die Policy lasst wie sie ist.

Hab mir das Script nicht angeschaut, aber alles, was ĂĽber ppp0 raus will sollte funktionieren -- einfach ausprobieren, aber sicher bin ich mir nicht - Eventuell kann dann der Router selbst nicht mehr ins Internet .. hmm

iptables -t nat PREROUTING -s !iprouter -i ppp0 -j DNAT --to-destination 192.168.0.189
Klemens
 
Nach oben

RE: DMZ a la "XY"- Router mit Linux serv

Beitragvon --toody-- » Di 03 Jun, 2003 11:04

<HTML>sorry, aber irgendwie klappt es nicht ganz, der krĂĽppel (comp) checkt das argument PREROUTING nicht ab *grrr*

# iptables -t nat PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.189
Bad argument `PREROUTING'
Try `iptables -h' or 'iptables --help' for more information.

# iptables -t nat PREROUTING -s 192.168.0.103 -i ppp0 -j DNAT --to-destination 192.168.0.189
Bad argument `PREROUTING'
Try `iptables -h' or 'iptables --help' for more information.


meinst du mit !iprouter die LAN, oder ppp0 WAN ip adresse? kann man doch ebenfalls mit eth0 (bei mir LAN) eth1(zum Modem) und ppp0 fĂĽr DSL usw angeben, oder?

es ist extrem wichtig dass der router/server weiterhin aus dem i-net erreichbar ist, da ein VPN&Web Server darauf läuft (neben ssh)

lg
--toody--</HTML>
--toody--
 
Nach oben

RE: DMZ a la "XY"- Router mit Linux serv

Beitragvon Klemens » Di 03 Jun, 2003 11:10

sorry!

iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.189

-A vergessen ;)

ja, die LAN- adresse. die geht ja auch durch ppp0 und soll ja nicht zu 192.168.0.189 umgeleitet werden;)

es ist extrem wichtig dass der router/server weiterhin aus dem i-net erreichbar ist, da ein VPN&Web Server darauf läuft (neben ssh)

Dann darfst Du aber keine globale DMZ haben!!! Du musst VPN und ssh vorher abfangen und auf den richtigen Rechner schicken!
Klemens
 
Nach oben

RE: DMZ a la "XY"- Router mit Linux serv

Beitragvon --toody-- » Fr 20 Jun, 2003 18:47

hmmmm globale DMZ???
versteh ich nicht so ganz was du mir damit sagen willst

danke es funktioniert jetzt zu 50% ;-)

ich habe halt jetzt das problem dass du angesprochen hast und zwar dass VPN, ssh und www nicht mehr von aussen erreichbar ist weil ja alle ports zum client weitergeleitet werden.

Ach ja, Gateway und server ist ein und derselbe rechner, darauf läuft (auf der externen ip) neben dem NAT auch apache, ssh und poptop (pptp-server)

Anundfürsich läuft ja vorher schon eine rule welches die benötigten ports (80,22 und so weiter) auf den server/gateway zulässt.

weiters wĂĽrde ich dich gleich ausnĂĽtzen wollen um mir mit dem pptp server problemchen weiterzuhelfen (nicht direkt, eher wieder einmal iptables, mit dem ich mich genau goar ned auskenne)

also:
der server ist von aussen unter xyz.dyndns.org zu erreichen
Die Clients erhalten die IP: 172.16.1.2-99 und als Gateway: 172.16.1.1
mein LAN ist unter 192.168.0.* zu erreichen. Wie bekomme ich die 2 netze "zusammen"? Auch haben die Clients untereinander keine verbindung. Ich weiß dass es sich hierbei um ein iptables kommando handelt und keine konfigurationsmöglichkeit im PoPToP ist.

wäre absolut bombastisch! wenn das geht dann steht nur mehr der mailserver mit spam/viren bekämpfung + webmail auf meiner ToDo liste, da werde ich aber wen anderen quälen, keine angst ;)
--toody--
 
Nach oben

RE: DMZ a la "XY"- Router mit Linux serv

Beitragvon Klemens » Sa 21 Jun, 2003 13:35

<HTML>Mit "globaler DMZ" hab ich eben gemeint, dass ALLE Anfragen weitergeleitet werden ...

Du kannst die Ports, die Du weiterleiten willst mit:
-p tcp 'portnummer'
-p udp 'portnummer'
spezifizieren

Du musst Dein VPN-Netz und dein LAN routen! - hat eigentlich recht wenig mit iptables zu tun!

Die 192.168 - Rechner müssen wissen, dass sie 127.16 über den Router erreichen können. Hat Dein Router auch eine Adresse aus dem Bereich 192.168? -> die sollte dann Gateway sein ... </HTML>
Klemens
 
Nach oben
Antwort erstellen

ZurĂĽck zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 23 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Ăśbersetzung durch phpBB.de
Impressum