komisches Portforwarding...
Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Kann es sein, dass durch das Routing entschieden wird, dass das von PC2 geschickte Paket mit Destination öffentliche IP an die INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und damit letztendlich ins Netz rausgehen würde?) Achja, routing-Tabelle sieht so aus: [EMAIL PROTECTED]:~route -n Kernel IP Routentabelle ZielRouter Genmask Flags Metric Ref Use Iface 62.104.208.42 0.0.0.0 255.255.255.255 UH0 0 0 ippp0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ippp0 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Andreas -- There was a phone call for you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). hört sich stark nach einem Routing-Problem des ISDN-Rechners an. Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 (ISDN-Rechner?) angeben? Dirk
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]: Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist normal. Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut, das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3. Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts anfangen. Im Prinzip das gleiche passiert auch wenn du von PC1 aus anfragst. Eine Antwort kommt zurück an PC1, durchläuft also nicht das NAT weil sie nicht über das geNATtete Interface ISDN läuft. Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 10:56:59, Dirk Deimeke wrote: Hallo Andreas, So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). hört sich stark nach einem Routing-Problem des ISDN-Rechners an. Ebend, nur hab ich keine Idee was falsch ist... Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 (ISDN-Rechner?) angeben? Kein Problem (PC3 entfällt - der ist momentan sowieso offline). PC1: neo:~route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 62.104.208.42 0.0.0.0 255.255.255.255 UH0 0 0 ippp0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ippp0 neo:~ifconfig eth0 Link encap:Ethernet HWaddr 00:20:AF:ED:9E:A6 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 eth1 Link encap:Ethernet HWaddr 00:02:44:87:3E:46 inet addr:192.168.2.1 Bcast:192.168.1.255 Mask:255.255.255.0 ippp0 Link encap:Point-to-Point Protocol inet addr:213.7.61.176 P-t-P:62.104.208.42 Mask:255.255.255.255 Wobei sich die IP von ippp0 bei jeder Einwahl natürlich ändert... PC2: romorpheus:~route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.2.1 0.0.0.0 UG0 0 0 eth0 morpheus:~ifconfig eth0 Link encap:Ethernet HWaddr 00:02:3F:67:BD:6C inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0 Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... Andreas -- Just to have it is enough. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: * Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]: Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist normal. :-( X11-Forward über ISDN macht aber keinen Spass... (zum Testen). Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut, das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3. Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts anfangen. Sehr vereinfacht, aber das hab ich mir gedacht... Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Wenn ein Paket ankommt läuft es durch PREROUTING, dann routet der Rechner das Teil und stellt fest das die Ziel-IP die des ippp0 Inteface ist, und dann denke ich schickt er es nicht an FORWARD sondern an INPUT. Die Frage wäre also nur: Wie bringe ich iptables dazu alle Pakete an INPUT mit --dport 21 nicht anzunehmen sondern wieder nach FORWARD zu schieben? Andreas -- You can do very well in speculation where land or anything to do with dirt is concerned. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]: On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben erklärt. Du müsstest z.B. für Port 80 so etwas machen: iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \ MASQUERADE Das ist aber wirklich nur zum Testen tauglich. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
Hallo Andreas, On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch identisch für ethX (an dem PC3 hängt) an. Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte tatsächlich aber mit PC2 kommunizieren. HTH, Rainer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... das wäre meine nächste Frage. Hast Du auf dem PC1 (neo) forwarding eingeschaltet? echo 1 /proc/sys/net/ipv4/conf/all/forwarding Dirk
Re: komisches Portforwarding...
Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat: Hi, hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Zum Verständnis: Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 an die gleichen Ports auf PC2 (IP aus LAN). Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie in einem Subnet liegen oder PC1 ordentlich im LAN routet. Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort zurück und über das Port-Forwarding auf PC2. Und das geht nicht. OK. Ich vergebe mal mangels Vorgabe folgende Adressen: PC1: ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3 zu PC3: 192.168.1.1 zu PC2: 192.168.2.1 PC2: 192.168.2.10, default-Route an 192.168.2.1 PC3: 192.168.1.10, default-Route an 192.168.1.1 PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet werden soll. Ich versuch das mal theoretsich nachzuvollziehen, die Ports lass ich mal weg, da ja keine Änderung erfolgt. 1.Etappe: von PC3 an default-Route (PC1) Paket von 192.168.1.10 an 200.2.2.2 2.Etappe: auf PC1 direkt an ISDN-IF (Output) Paket von 192.168.1.10 an 200.2.2.2 3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10 4.Etappe: PC1 an PC2 Paket von 192.168.1.10 an 192.168.2.10 Antwort: 1.Etappe: PC2 an default-Route (PC1) 192.168.2.10 an 192.168.1.10 2.Etappe: Und hier müsste es IMHO eine Konflikt geben Warum? Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten und alles wäre an PC3 OK. Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das geforwardete und müsste es dementsprechend zurück maskieren und als Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken (anscheinend wird hier automatisch das entsprechende Output-Interface über die Absender-IP bestimmt und kein Ziel-Routing gemacht). Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt offensichtlich der zweite Fall ein und es wird mit der Zieladresse 192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert wird. Wie gesagt: Theorie. Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt. Lösung: Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch der Rückweg klappen. HTH -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet.
Re: komisches Portforwarding...
Hi, Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 10:02:15 +0100: hab hier ein Problem, das irgendwie mit meinem Portforwarding zusammenhängt: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht auf den FTP-Server (mit der IP des ISDN-Interfaces). Lass mich mal raten: Du machst das portforwarding mittels DNAT im PREROUTING auf ippp0? ungefähr so: iptables -t nat -A PREROUTING -p tcp --dport 80 -i ippp0 -j DNAT --to pc2 in http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-6.html#ss6.2 steht: Um das Ziel von lokal generierten Paketen zu aendern, kann auch die OUTPUT-Kette benutzt werden, das ist aber eher ungewoehnlich. also etwa: iptables -t nat -A OUTPUT -p tcp --dport 80 -i ippp0 -j DNAT --to pc2 Kann es sein, dass durch das Routing entschieden wird, dass das von PC2 geschickte Paket mit Destination öffentliche IP an die INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und damit letztendlich ins Netz rausgehen würde?) ja, nachdem die öffentliche IP von PC1 Ziel der Pakete ist gehen sie in die INPUT-Queue von PC1, da ist aber kein Listener drauf, also müsste eigentlich ein TCP-Reset die Verbindung beenden. also entweder bastelst Du mit den iptables rum oder Du installierst einen (Reverse)Proxy. -- Jörg Friedrich There are only 10 types of people: Those who understand binary and those who don't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:12:00, Dirk Deimeke wrote: Hallo Andreas, Ich werd gleich nochmal probieren wie das ausschaut wenn ich die iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache... das wäre meine nächste Frage. Ok, mit: iptables -t nat -I POSTROUTING 1 -o ippp+ -j MASQUERADE iptables -t nat -I PREROUTING 1 -i ippp+ -p tcp --dport 21 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 2 -i ippp+ -p tcp --dport 3:30010 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 3 -i ippp+ -p tcp --dport 22 -j DNAT --to 192.168.2.2 iptables -t nat -I PREROUTING 4 -i ippp+ -p tcp --dport 80 -j DNAT --to 192.168.2.2 iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 21 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 3:30010 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 22 -j ACCEPT iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 21 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 3:30010 -j ACCEPT iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 22 -j ACCEPT iptables -I FORWARD 2 -o ippp+ -i eth1 -p tcp --sport 80 -j ACCEPT gehts immernoch nicht: [EMAIL PROTECTED]:~ftp 213.7.61.182 Nutzername [anonymous]: andreas Passwort: Suche IP Adresse von 213.7.61.182 Versuche B3db6.b.pppool.de:21 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Hast Du auf dem PC1 (neo) forwarding eingeschaltet? echo 1 /proc/sys/net/ipv4/conf/all/forwarding Klaro, sonst könnte ich ja nicht ins Netz... ;-) Andreas -- Long life is in store for you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:07:42, Felix M. Palmen wrote: Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]: On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote: Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen nicht mehr von denen von außen unterscheiden kann. ?? Ich tue momentan folgendes fürs MASQUERADE: iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist denke ich, dass routing auf PC1. Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben erklärt. Du müsstest z.B. für Port 80 so etwas machen: iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \ MASQUERADE Das ist aber wirklich nur zum Testen tauglich. Hmm, also ich hab die Firewall jetzt ausgemacht und nur noch das DNAT und das MASQUERADE (für den I-Net Zugang) an und neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp --dport21 -j MASQUERADE neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp --dport3:30010 -j MASQUERADE Aber ein ftp von PC2 aus: ftp [EMAIL PROTECTED]:~ftp 213.7.61.182 Nutzername [anonymous]: andreas Passwort: Suche IP Adresse von 213.7.61.182 Versuche B3db6.b.pppool.de:21 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Irgendwas ist da noch immer nicht in Ordnung... Andreas -- You may be infinitely smaller than some things, but you're infinitely larger than others. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:10:30, Rainer Hirsel wrote: On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote: Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router liegt) nicht zugreifen. Sprich folgendes Setup: Port21 --- Port21 --- I-Net Port80 | PC1 | - Port80 | PC2 | Port22 --- Port22 --- | | PC3 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet brauche um mein Portforwarding zu testen? Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch identisch für ethX (an dem PC3 hängt) an. Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte tatsächlich aber mit PC2 kommunizieren. PC3 hatte ich nur der Vollständigkeit halber erwähnt. Ich sitze an PC2 und von dem will ich auf seinen FTP-Server (aber übers Netz um das Portforwarding zu testen) Andreas -- Reply hazy, ask again later. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hi, Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt hast Du einmal mit einem nmap auf den Rechner geschossen? nmap -sS -p 21 B3db6.b.pppool.de Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 3:30010 benötigt. Ich mußte auf einem anderen Paketfilter alles jenseits der 1024 freigeben. Dirk
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]: Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es muss ja auf das Interface geNATtet werden, über das das Paket zum Server rausging. Also SNAT auf das LAN-Interface. Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Warnungen ernst nehmen. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 12:13:49, Matthias Houdek wrote: Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat: Zum Verständnis: Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 an die gleichen Ports auf PC2 (IP aus LAN). Jupp. Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie in einem Subnet liegen oder PC1 ordentlich im LAN routet. Er routet ordentlich und es geht ja auch nicht primär um den Zugang. Ich wollte das Portforwarding testen - das klappte nicht von PC2 aus (an dem ich sitze), deshalb frug ich hier. Portforwarding klappt zwar mittlerweile gut, aber mir gehts jetzt darum herauszufinden ob es eine Möglichkeit gibt vom Rechner im LAN das Portforwarding zu testen... Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort zurück und über das Port-Forwarding auf PC2. Und das geht nicht. Ich will eigentlich von PC2 über ISDN ins Netz und dann zurück zu PC2. PC3 ist ne Win-Kiste und ich hab sie nur der Vollständigkeit halber erwähnt. OK. Ich vergebe mal mangels Vorgabe folgende Adressen: PC1: ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3 Ändert sich ständig. zu PC3: 192.168.1.1 zu PC2: 192.168.2.1 PC2: 192.168.2.10, default-Route an 192.168.2.1 192.168.2.2 PC3: 192.168.1.10, default-Route an 192.168.1.1 192.168.1.2 PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet werden soll. Genau :-) 1.Etappe: von PC3 an default-Route (PC1) Paket von 192.168.1.10 an 200.2.2.2 2.Etappe: auf PC1 direkt an ISDN-IF (Output) Paket von 192.168.1.10 an 200.2.2.2 3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10 4.Etappe: PC1 an PC2 Paket von 192.168.1.10 an 192.168.2.10 Antwort: 1.Etappe: PC2 an default-Route (PC1) 192.168.2.10 an 192.168.1.10 2.Etappe: Und hier müsste es IMHO eine Konflikt geben Ich schätze mal... Folgendes sehe ich mit ethereal: DNS-Anfrage Standard query PTR 182.621.7.213.in-addr.arpa (ist die public-IP in umgekehrter Reihenfolge) Antwort ist Standard query response PTR B3db6.b.pppool.de Dann ein TCP Zugriff auf 213.7.61.182: 33593 ftp [SYN] Seq=0 Ack=0 Win=5840 Len=0 MSS=1460 TSV=14947772 Antwort darauf kommt noch: ftp 33593 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 Hmm und danach ebend nichts mehr und der ftp-Client sagt er bekommt keine Verbindung... Warum? Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten und alles wäre an PC3 OK. Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das geforwardete und müsste es dementsprechend zurück maskieren und als Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken (anscheinend wird hier automatisch das entsprechende Output-Interface über die Absender-IP bestimmt und kein Ziel-Routing gemacht). Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt offensichtlich der zweite Fall ein und es wird mit der Zieladresse 192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert wird. Hmm, also ganz so wohl nicht, jedenfalls kriege ich 1 Antwort von 213.7.61.182. Allerdings ebend danach nichts mehr... Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt. Genau das hatte ich schon gemacht (tethereal) aber ich machs nochmal mit ausgeschalteter Firewall... Hmm, also ich sehe auch auf PC1 in eth1 diesselben Pakete wie oben (einmal DNS-Kram, und SYN und RST,ACK für ftp). Auf ippp0 dagegen sehe ich _nur_ die DNS-Anfrage, nicht die ftp-Pakete... Lösung: Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch der Rückweg klappen. Sollte das nicht durch iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE passieren, das maskiert alles was an ippp+ rausgeht. Eines noch: Wenn auf dem Router ein FTP-Server läuft komme ich von PC2 mit ftp public-IP auf den FTP-server auf PC1. Also ist das Problem in der Tat, dass aus irgendeinem Grund die Pakete von PC2 nicht in die Forward-Kette sondern in die Input-Kette laufen... Andreas -- You can rent this space for only $5 a week. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 13:26:23, Dirk Deimeke wrote: Hi, Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt hast Du einmal mit einem nmap auf den Rechner geschossen? nmap -sS -p 21 B3db6.b.pppool.de Port ist closed, aus dem LAN jedenfalls. Das Problem sind die iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD... Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 3:30010 benötigt. Ja, denn das habe ich dem FTP-Server ja extra beigebracht, fürs Passive-FTP. Der Control-Channel ist trotzdem noch 21. Wie gesagt aus dem Internet gehts ja und momentan ist die Firewall abgeschaltet. Andreas -- You like to form new friendships and make new acquaintances. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 13:27:41, Felix M. Palmen wrote: Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]: Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es muss ja auf das Interface geNATtet werden, über das das Paket zum Server rausging. Also SNAT auf das LAN-Interface. Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Aha, das erklärt einiges. Warnungen ernst nehmen. Da Portforwarding funktioniert brauche ich das Testing ja erstmal nicht mehr. Aber für nen Test kann man die Warnungen wohl ignorieren, ein dauerhaftes Setup ist so natürlich nicht sehr gut und IHMO auch nicht sinnvoll, da Rechner im LAN ja direkten Zugriff ohne das I-Net machen können... Andreas -- You will be called upon to help a friend in trouble. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hi Andreas, Port ist closed, aus dem LAN jedenfalls. Das Problem sind die iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD... sorry, da bin ich nicht fit genug ... Dirk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Felix M. Palmen wrote: Mehr Infos hier: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Danke, hat auch mir geholfen. Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht kommen, aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Helmut, * Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]: Felix M. Palmen wrote: http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht kommen, Weil billige Router sehr primitiv arbeiten und als einziges Ziel haben, möglichst viele Verbindungen funktionieren zu lassen. Sicherheitsthemen sind da uninteressant, also kann man bei einem Portforward auch gleich automatisch Quell- und Zieladresse umschreiben. aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre, auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich zugegriffen?) Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
On 22.Feb 2005 - 15:59:40, Felix M. Palmen wrote: * Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]: Felix M. Palmen wrote: aber nach Umstellung auf einen Cisco 831 hatte ich genau das selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst. Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre, auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich zugegriffen?) Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Andreas -- You will attract cultured and artistic people to your home. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Hallo Andreas, * Andreas Pakulat [EMAIL PROTECTED] [20050222 16:22]: Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Nein. Man arbeitet für gewöhnlich nicht mit IP-Adressen sondern mit Namen. Eine geeignete Konfiguration des lokalen Nameservers führt dazu, dass der gewünschte Name des Serverrechnes (etwa ftp.dyndns.example) auf bei einer Anfrage von innen auf den passenden lokalen Rechner zeigt. Ein Rechner außerhalb, der diesen Namen auflösen will, wird dagegen die IP-Adresse des externen Netzwerkinterfaces bekommen, das für diesen Client dann NAT macht. Soll die Antworten auf Anfragen von außen der gleiche Nameserver geben, benötigt man sogenanntes split DNS (Antwort abhängig von der Quell-Adresse der Anfrage). Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: komisches Portforwarding...
Andreas Pakulat wrote: Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik? Führt eine passende Configuration desselben etwa dazu, dass eine Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir eigentlich nicht vorstellen)? Eine Anfrage aus dem LAN wird dann gleich direkt auf die LAN-IP des Servers aufgelöst, wird dann also garnicht geNATed. Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für Test von Browserkompatibilität ist das natürlich nix, aber das mach ich eh auf Testumgebungen und nicht in Produktion. Bleibt ein Problem: wenn ein VirtualServer im Apache ein Rewrite z.B. von abc.com auf xyz.com:8080 macht, dann ergibt sich das selbe Problem. Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Felix M. Palmen wrote: [LAN-DNS] Wieso vorläufig? Genau so ist es richtig[tm]. Ja, eh. Vorläufig deshalb, weil ich die /etc/hosts auf meiner Workstation und am Server missbraucht habe. Split-DNS wär natürlich eine vernünftigere Lösung für ca. 30 virtual Hosts und über ein dutzend Clients. Bisher konnte ich der Syntax aus der Lochkartenära von BIND erfolgreich ausweichen;-) Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... Andreas -- Best of all is never to have been born. Second best is to die soon. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: komisches Portforwarding...
Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100: On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... warum testest Du ftp nicht mit ftp, ncftp, wget? -- Jörg Friedrich There are only 10 types of people: Those who understand binary and those who don't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Probleme (was: komisches Portforwarding...)
On 22.Feb 2005 - 17:21:55, Joerg Friedrich wrote: Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100: On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote: Bei mir selbe Ursache, mit anderer Situation. Für das Testen der Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort aus z.B. Lynx verwenden. Für meine Tests ist lynx leider nicht das richtige - Zugriff auf FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich nicht spassig (gftp geht grad noch soo)... warum testest Du ftp nicht mit ftp, ncftp, wget? Weil das Problem nur bei Zugriff über Webbrowser auftrat. Ok, auch wenns OT wird: Ausgansproblem war, dass mein Vater auf seinem Rechner den sog. Jana-Server als FTP-Server betreibt, ebenso wie ein Bekannter von ihm. Beide wollten nun die in einer neuen Version hinzugekommene Möglichkeit die Passive-Ports festzulegen ausprobieren. Dabei fiel auf, dass der Zugriff mittels Webbrowser (firefox) auf den FTP-Server (von einem Rechner der separat im Internet hängt) nur bei meinem Vater funktionierte, bei dem Bekannten gings. Wobei bei beiden Servern ein Zugriff mittels echtem FTP-Client funktioniert. Die hatten sich den Traffic mit ethereal angeguckt aber nichts gefunden. Also wollte ich mal schauen wie das mit meinem proftpd aussieht. Entsprechende Änderung an der Config und dann kam das Portforwarding-Problem. Ich also Doku gesucht und versucht das einzurichten, beim Testen des Portforwarding stiess ich auf das Eingangs erwähnte Problem aus dem LAN nicht auf die public-IP- FTP-Port zugreifen zu können. Um nun das Problem meines Vaters nachvollziehen zu können, mit meinem FTP-Server, muss ich per ssh auf einen Rechner im Internet (Uni) und von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht... Andreas -- You will be attacked by a beast who has the body of a wolf, the tail of a lion, and the face of Donald Duck. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Probleme (was: komisches Portforwarding...)
Moin Moin Andreas Pakulat, *, Andreas Pakulat wrote on Feb 22, 2005 at 06:10PM +0100: von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht... Du kannst auch einfach einen externen Proxy nehmen (Provider, freier proxy, $proxyvonkumpel) -- - Rainer Bendig aka ny GnuPG-Key 0x41D44F10 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)