Portforward gond

Hálózatok általános

Sziasztok!

A LAN-on levő egyik gép SSH szolgáltatását szeretném elérni az internet felől. A lenti scripttel próbáltam beállítani, de a ipmasqadm a 'portfw: setsockopt failed: Invalid argument' üzenettel válaszol.

script:

net_ip="`ifconfig ppp0 | awk '/inet/ {sub(/addr:/,"",$2); print $2}'`"
/usr/sbin/ipmasqadm portfw -f
/usr/sbin/ipmasqadm portfw -a -P tcp -L $net_ip 49000 -R 192.168.0.4 22

A lista kiíratásakor ez a helyzet:

portfw: setsockopt failed: Invalid argument
Could not open "/proc/net/ip_masq/portfw"
Could not open "/proc/net/ip_portfw"
Check if you have enabled portforwarding

Kihagytam valamit vagy esetleg a kernel támogatást hiányolja?

  • 2190 megtekintés

( hnsz2002 v | 2007. 08. 04., szo – 11:55 )

echo "1" > /proc/sys/net/ipv4/ip_forward

Aztán lehet, hogy az iptables jobb lenne....
Tűzfalon a ppp0-án be van engedve a 49000-es port?
-----------------------------------------------------------------------------
OpenSuSE 10.2, Celeron 2,4Ghz, 768MB, 2*160GB ide raid0, FX5200, SBLive! E400

Lőjetek le, ha hülyeséget mondok.... :D

Nem arról van szó, hogy neked nem felel meg az ipchains, hanem olvastam valami olyasmit, hogy az újabb kernelekbe (2.4<) már ennek a szerepét erősen az iptables vette át. Effektív nem működik rendesen.

Próbáld meg:
iptables -t nat -A PREROUTING -p tcp -i ppp0 -d xxx.xxx.xxx.xxx --dport 49000 -j DNAT --to xxx.xxx.xxx.xxx:22

[szerk] Annyit tehersz, ha nem megy, hogy a NAT-os gépen és a célgépen is indítasz egy tcpdump-ot, és nézd meg, hogy hol akad el, meddig jutnak a csomagok.
-----------------------------------------------------------------------------
OpenSuSE 10.2, Celeron 2,4Ghz, 768MB, 2*160GB ide raid0, FX5200, SBLive! E400

Oké, megadom magam. Az iptables 'jobbságának' tekintetében teljes mértékben igazad van. De ez egy pici 486-os, 48 MB memóriával és sok szolgáltatással. Rajta egy minimalizált Debian Woody rc2 csücsül kigyomlált 2.2.26-os kernellel. Ennél még az ipchains a menő. :)

Az ipmasqadm meg azért panaszkodott, mert a 'ip_masq_*' modulok közül csak egyet hagytam ki, de az pont a 'ip_masq_portfw' volt. Az újrafordítás megoldotta a gondomat:

gateway:~# ipmasqadm portfw -l
prot localaddr rediraddr lport rport pcnt pref
TCP dsl51B6070B.pool.t-online.hu tigra 49001 www 10 10
TCP dsl51B6070B.pool.t-online.hu tigra 49000 ssh 10 10

Köszönöm a segítséget!

( csonkasanyi | 2008. 01. 01., k – 21:28 )

Sziasztok!
Port továbbítással van gondom:
A munkahelyem belső hálózatában van 1 ipkamera, 192.168.10.34-es ip címmel, 11111-es porton. Ezt az eszközt szeretném elérni a nagyvilágból.

iptables -t nat -A PREROUTING -p tcp --dport 11111 -i eth1 -j DNAT --to 192.168.10.34
parancsot kiadtam, de sajnos a böngészők nem tudják az oldalt megjeleníteni, ha beírom, hogy xxx.xxx.xxx.xxx:11111, ahol az xxx.xxx.xxx.xxx az eth1, tehát a szerver külső lába.
IE 6.0 pl. azt írja, hogy érvénytelen szintaktikai hiba, Firefox időtúllépés miatt csúszik el.
Segítsetek, merre keressem a hibát, nem csináltam még ilyet, de minden leírásban ezt az 1 sort írták, amivel be lehet állítani. Kell még ezenkívül valami?

Köszi mindenkinek!

Ui.: B U É K

Van.
A szerver belső lába.
Ennek ellenére nem megy.
A filter táblán az INPUT és a FORWARD DROPra van állítva, az OUTPUT ACCEPT-re, ha ez számít valamit!?

Vagy ha minden DROPra van állítva, ezzel az egy sorral akkor is működnie kellene? Arra gondolok, más korlátozások miatt nem megy.
A kamera a belső hálóról persze elérhető.

Sanyi

Mind a Forward, mind az Input láncot ACCEPT-re állítottam, de így sem megy. Hol keresgéljek még, elfogytak az ötleteim.
Az szerverig valószínűleg mennek a csomagok, mert tegnap 1, a szerveren futó szolgáltatást állítottam a 11111-es portra, és azt tudtam használni. Csak a továbbítás nem jön össze.
Ebben az egy sorban az is benne van, hogy hogy jutnak vissza a válaszok a böngészőmhöz?
Vagy ahhoz újabb sor kellene?

Bocs, ha néha marhaságokat kérdezek, de minél jobban gyűröm, annál kevesebb az ötletem

Sanyi

Félig meddig megoldódott a gondom: ha jól sejtem, a következő sor hiányzott:
iptables -t nat -A POSTROUTING -o $kulsoif -j SNAT --to $kulsoip
A problémám mindössze annyi, hogy IE-vel nem tudom elérni az oldalt, a régebbi IE annyit ír, hogy "érvénytelen szintaktikai hiba", a 7es, még annyit sem. További érdekesség, hogy belső hálózatból megtudom adni, hogy 192.168.10.246:11111, és úgy megy is. Csak a sajatszerver.hu:11111-et nem fogadja el. Mi lehet a gond? registry hack?
Azért kellene az ie, mert a kamerának van valami ActiveX-e, amit firefox alá nem tudtam telepíteni.

Sanyi

Tudtommal ha a --to 192.168.10.34 után nem adok meg portot, akkor ugyanarra a portra irányul, amit előtte a --dport nál megadtam.

A böngésző problémáimat egyébként ez sem oldotta meg...
Ötleteket várok azoktól, akik kicsit otthon vannak az explorer lelkivilágában is.
Sanyi

PREROUTING vagy POSTROUTING? nekem is epp hasonlo problemam akadt, adott portrange-t szeretnek a belso gepre forwardolni, de a 

-A PREROUTING -i ppp0 -p udp --dport 2300:2400 -j DNAT --to <belsogepIP>

parancs nem forwardolja. Ha a --to utan nem adok meg portot akkor ugyanarra a portra megy, amire bejott?

Helló!
Nálam kellett a:
iptables -t nat -A POSTROUTING -o $kulsoif -j SNAT --to $kulsoip
sor is, így volt csak működőképes a dolog.
Igen, én is úgy tudom, ha nem adsz meg a végén portot, akkor arra a portra megy, amelyikről bejön.

A böngésző problémám megoldása:
Az IE megköveteli, hogy a domain név előtt szerepeljen a http://...

Sanyi