Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Mittwoch, 14. Dezember 2005 23:07 schrieb Hans-Georg Bork: Moin, On Tue, Dec 13, 2005 at 11:45:50PM +0100, [EMAIL PROTECTED] wrote: [...] gruß von wem? Ich fuerchte, dass Du ohne einen Realnamen keine weiteren Antworten erhalten wirst ... Gruss -- hgb
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Mittwoch, 14. Dezember 2005 23:07 schrieb Hans-Georg Bork: Moin, On Tue, Dec 13, 2005 at 11:45:50PM +0100, [EMAIL PROTECTED] wrote: [...] gruß von wem? Ich fuerchte, dass Du ohne einen Realnamen keine weiteren Antworten erhalten wirst ... Eigentlich ziemlich sinnlos, da ihr eh nicht nachprüfen könnt, ob ich so heiße. aber wenn mir jemand dann mit dem problem helfen kann. Ich bin der Andreas Bayer. Gruß
Re: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Mittwoch, 14. Dezember 2005 10:55 schrieben Sie: Ich bräuchte also eine Regel, die dafür sorgt, das die Pakete eben nicht lokal auf dem Server ausgeliefert werden, sondern an den Arbeitsplatz PC weitergesandt werden. Leider handelt es sich nicht nur um einen ArbeitsPC sondern das wechselt häufiger. Deshalb kann ich keine festen Routen einstellen. Wenn die PC's alle im gleichen Netz sind ist es egal. Hier noch mal meine Konfig: UNI --- Internet --- my Router ---Server (eth0). --- PC Zum Verständnis: Die Pakete kommen vom Internet und landen im ext. Router. Dieser schleift sie durch zum Server. Der Server verteilt die Pakete mittels iptables. Server und PC sind im selben lokalen Netz, das maskiert ist. Wenn dem so ist, musst du die Regeln entsprechend deinem Router anpassen. Nach meiner Kenntnis musst du nur die $EXT_IP durch die IP des Router ändern. Bei meinen Regeln ist der Router = Server. Wenn du ssh tunneln willst, kann ich dir leider nicht weiterhelfen. ich schicke die daten in einem vpntunnel von der uni über den router zu server, erst da verlassen sie den tunnel, deshalb ist das so, als wäre die uni auf einem eigenen netzwerkdevice. Gruß
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Moin, On Tue, Dec 13, 2005 at 11:45:50PM +0100, [EMAIL PROTECTED] wrote: [...] gruß von wem? Ich fuerchte, dass Du ohne einen Realnamen keine weiteren Antworten erhalten wirst ... Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Heute (14.12.2005/23:07 Uhr) schrieb Hans-Georg Bork ([EMAIL PROTECTED]), Moin, On Tue, Dec 13, 2005 at 11:45:50PM +0100, [EMAIL PROTECTED] wrote: [...] gruß von wem? Ich fuerchte, dass Du ohne einen Realnamen keine weiteren Antworten erhalten wirst ... Gruss -- hgb oh Mann, jetzt geht das wieder los. :( Seht ihr sowas auf Ami-Listen? Nein. Ich bin auf der SA-List, auf der amavis-List, Postfix-List. Da schreibt jeder mit Nick oder auch ohne und CC is auch kein Thema. Nur in Deutschland macht man so ein Gewese. *tststs* -- Viele Grüße, Kind regards, Jim Knuth [EMAIL PROTECTED] ICQ #277289867 - VoIP: +49 (0) 322 212 044 67 Key ID: 0x1F78066F -- Zufalls-Zitat -- In wichtigen Fragen hat man meist zwischen Pest und Cholera zu wählen. (Dean Acheson) -- Der Text hat nichts mit dem Empfänger der Mail zu tun -- Virus free. Checked by NOD32 Version 1.1322 Build 6450 14.12.2005 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
On Wed, Dec 14, 2005 at 11:37:29PM +0100, Jim Knuth wrote: oh Mann, jetzt geht das wieder los. :( Seht ihr sowas auf Ami-Listen? Nein. Ich bin auf der SA-List, auf der amavis-List, Die Amis sind in diesen Tagen eben in keinem Gebiet ein positives Beispiel für irgend jemanden, in wirklich keinem. SCNR, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Moin, On Mon, Dec 12, 2005 at 11:17:34PM +0100, [EMAIL PROTECTED] wrote: [...] iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE IIRC muss da noch -t nat mit rein (kann gerade nicht nachsehen ...). Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Dienstag, 13. Dezember 2005 22:52 schrieb Hans-Georg Bork: Moin, On Mon, Dec 12, 2005 at 11:17:34PM +0100, [EMAIL PROTECTED] wrote: [...] iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE IIRC muss da noch -t nat mit rein (kann gerade nicht nachsehen ...). das ist beim copy und paste verloren gegangen. Leider liegt es daran nicht. gruss -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Dienstag, 13. Dezember 2005 23:41 schrieb [EMAIL PROTECTED]: Am Dienstag, 13. Dezember 2005 22:52 schrieb Hans-Georg Bork: Moin, IIRC muss da noch -t nat mit rein (kann gerade nicht nachsehen ...). das ist beim copy und paste verloren gegangen. Leider liegt es daran nicht. die pakete werden ja auch beim hinausgehen maskiert. es wird nur nicht bei der rückkehr erkannt, das sie zu den maskierten paketen gehören. gruß
Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Hai, - Arbeitsplatz PC kann sich mit ssh zur Uni verbinden. (Fehler) Wenn du von einem PC mit einem ssh-client eine Verbindung zum anderen Rechner aufbauen willst, musst du deinem Server sagen, wohin er die Daten beim Rückruf senden soll, sprich zu deinem PC Bei mir funktionieren folgende Regeln: IPTABLES -A INPUT -p tcp -m state --state NEW -d $EXT_IP --dport $SSH -j ACCEPT IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport $SSH -j ACCEPT damit landet der Rückruf auf dem Server IPTABLES -A INPUT -p tcp -m state --state NEW -s $LOC_NET --dport $SSH -d \ $LOC_IP -j ACCEPT damit landen die Daten wieder auf deinem PC. Ich hoffe, ich habe es richtig erklärt. Gruß Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
am 13.12.2005, um 23:45:50 +0100 mailte [EMAIL PROTECTED] folgendes: ^^ Realnamen erhöhen die Chance auf Antwort Am Dienstag, 13. Dezember 2005 23:41 schrieb [EMAIL PROTECTED]: Am Dienstag, 13. Dezember 2005 22:52 schrieb Hans-Georg Bork: Moin, IIRC muss da noch -t nat mit rein (kann gerade nicht nachsehen ...). das ist beim copy und paste verloren gegangen. Leider liegt es daran nicht. die pakete werden ja auch beim hinausgehen maskiert. es wird nur nicht bei der rückkehr erkannt, das sie zu den maskierten paketen gehören. Vermutlich, weil sie nicht mehr als Antwortpakete erkannt werden, weil die Gegenseite durch den VPN-Kram dran rumwerkelt. Ich hab mit ipsec (kernel 2.5 FreeSwan) z.B. auch das Problem, daß ich vom Gateway aus nicht ins fremde Netz pingen kann und löse es mit ip route replace dest/24 dev iface src local_ip Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Am Mittwoch, 14. Dezember 2005 00:28 schrieb Michael Hiller: Hai, - Arbeitsplatz PC kann sich mit ssh zur Uni verbinden. (Fehler) Wenn du von einem PC mit einem ssh-client eine Verbindung zum anderen Rechner aufbauen willst, musst du deinem Server sagen, wohin er die Daten beim Rückruf senden soll, sprich zu deinem PC Bei mir funktionieren folgende Regeln: IPTABLES -A INPUT -p tcp -m state --state NEW -d $EXT_IP --dport $SSH -j ACCEPT IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport $SSH -j ACCEPT damit landet der Rückruf auf dem Server IPTABLES -A INPUT -p tcp -m state --state NEW -s $LOC_NET --dport $SSH -d \ $LOC_IP -j ACCEPT Das funktioniert leider nicht, weil mein Server die Verbindungen herstellt und der Arbeitsplatz PC die ssh Verbindung aufbaut. Ich bräuchte also eine Regel, die dafür sorgt, das die Pakete eben nicht lokal auf dem Server ausgeliefert werden, sondern an den Arbeitsplatz PC weitergesandt werden. Leider handelt es sich nicht nur um einen ArbeitsPC sondern das wechselt häufiger. Deshalb kann ich keine festen Routen einstellen. iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE Diese Regel sollte ja eigentlich in einer Liste mitführen, wohin sie Pakete umleitet, damit sie die Antwortpakete an den richtigen PC und Port weiterleitet. Das tut sie ja auch auf anderen Netzwerkdevices, aber anscheinend nicht bei meiner Konfiguration. Und ich weiß nicht warum. = Hier noch mal meine Konfig: UNI --- Internet --- my Router ---Server (eth0). --- PC Cisco VPN vpnc (vpnlink) iptables -A PREROUTING -t mangle -p tcp -d [UNI.UNI.0.0]/16 --dport 22 -j MARK --set-mark 3 iptabeles -A POSTROUTING -t nat -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE iptables -A FORWARD -i vpnlink -s ! [UNI.UNI.0.0]/16 -j DROP /sbin/ip rule add from [UNI.UNI.0.0]/16 to [UNI.UNI.0.0] /16 table 103 pref 32762 /sbin/ip rule add fwmark 3 table 103 pref 32753 /sbin/ip route add default dev vpnlink table 103 Ich will halt nicht allen Traffic über den vpnlink leiten, sondern nur bestimmte Protokolle (rdp, smb .). SSH ist auch nur zum testen, ob es klappt. Gruß
iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Hi, mein iptables MASQ funktioniert nicht. Rückkehrende Pakete werden lokal zugesstellt. Ich hab folgende Konfiguration - Server zuhause über Router am Internet. (OK) - Server baut mit vpnc einen Tunnel (dev vpnlink) zur Uni auf. (OK). - Server kann Mails aus der Uni abrufen. (OK) - Arbeitsplatz PC kann sich mit ssh zur Uni verbinden. (Fehler) iptables -A PREROUTING -t mangle -p tcp -d [UNI.UNI.0.0]/16 --dport 22 -j MARK --set-mark 3 iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE iptables -A FORWARD -i vpnlink -s ! [UNI.UNI.0.0]/16 -j DROP /sbin/ip rule add from [UNI.UNI.0.0]/16 to [UNI.UNI.0.0] /16 table 103 pref 32762 /sbin/ip rule add fwmark 3 table 103 pref 32753 /sbin/ip route add default dev vpnlink table 103 Die Pakete werden zum Uniserver über vpn geroutet und erhalten brav als absender die ip des vpn-devices. Beim Rückweg werden sie jedoch nicht durch FORWARD geleitet und an den ArbeitsplatzzPC weitergereicht, sondern landen in INPUT, wo der Server nichts damit anfangen kann. Hat da jemand ne IDee. Gruß
iptables MASQUERADE funktioniert nicht. Eingehende Pakete landen statt in FORWARD in INPUT.
Hi, mein iptables MASQ funktioniert nicht. Rückkehrende Pakete werden lokal zugesstellt. Ich hab folgende Konfiguration - Server zuhause über Router am Internet. (OK) - Server baut mit vpnc einen Tunnel (dev vpnlink) zur Uni auf. (OK). - Server kann Mails aus der Uni abrufen. (OK) - Arbeitsplatz PC kann sich mit ssh zur Uni verbinden. (Fehler) iptables -A PREROUTING -t mangle -p tcp -d [UNI.UNI.0.0]/16 --dport 22 -j MARK --set-mark 3 iptabeles -A POSTROUTING -d [UNI.UNI.0.0]/255.255.0.0 -o vpnlink -j MASQUERADE iptables -A FORWARD -i vpnlink -s ! [UNI.UNI.0.0]/16 -j DROP /sbin/ip rule add from [UNI.UNI.0.0]/16 to [UNI.UNI.0.0] /16 table 103 pref 32762 /sbin/ip rule add fwmark 3 table 103 pref 32753 /sbin/ip route add default dev vpnlink table 103 Die Pakete werden zum Uniserver über vpn geroutet und erhalten brav als absender die ip des vpn-devices. Beim Rückweg werden sie jedoch nicht durch FORWARD geleitet und an den ArbeitsplatzzPC weitergereicht, sondern landen in INPUT, wo der Server nichts damit anfangen kann. Hat da jemand ne IDee. Gruß