Hallo Freifunker, ich bin auf der Suche nach einem Experten für Firewall-Einstellungen unter Linux. Nachdem ich einen News Server innerhalb unseres Freifunk-Netzes eingerichtet habe, möchte ich diesen mittels Port-Weiterleitung über ein Gateway auch im Internet verfügbar machen. An und für sich sollte das eine einfache Sache sein. Leider beiße ich mir schont seid mehreren Tagen die Zähne an der Firewall-Konfiguration aus. Die Weiterleitung funktioniert noch nicht mal innerhalb des Freifunk-Netzes. Hier die IPv4-Adressen der beteiligten Rechner:
Client: 10.119.2.36 Gateway: 10.119.0.2 News Server: 10.119.2.1 Die Firewall-Konfigurationen auf dem Gateway und News Server findet ihr am Ende dieser Mail (generiert mit iptables-save). Der News Server ist innerhalb des Freifunk-Netzes prinzipiell ansprechbar. Die Portweiterleitung funktioniert jedoch nicht: Client:~$ telnet 10.119.2.1 119 -> Ich bekommen eine Verbindung zum News Server. Im Log auf dem News Server finde ich die folgenden Einträge: Sep 23 22:03:09 box-1719 kernel: [ 3317.604082] IN=eth0 OUT= MAC=b8:27:eb:95:ff:cf:00:1c:7b:73:df:54:08:00:45:00:00:34:56:a2:40:00:80:06:8b:0f SRC=10.119.2.36 DST=10.119.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=22178 DF PROTO=TCP SPT=52585 DPT=119 WINDOW=64240 RES=0x00 SYN URGP=0 Sep 23 22:03:09 box-1719 kernel: [ 3317.604291] IN= OUT=eth0 SRC=10.119.2.1 DST=10.119.2.36 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=119 DPT=52585 WINDOW=29200 RES=0x00 ACK SYN URGP=0 Gateway:~$ telnet 119.2.1 119 -> Ich bekomme eine Verbindung zum News Server. Im Log auf dem News Server finde ich die folgenden Einträge: Sep 23 22:05:23 box-1719 kernel: [ 3451.289275] IN=eth0 OUT= MAC=b8:27:eb:95:ff:cf:8e:0a:26:71:bf:90:08:00:45:10:00:3c:53:17:40:00:40:06:d0:a4 SRC=10.119.0.2 DST=10.119.2.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=21271 DF PROTO=TCP SPT=40617 DPT=119 WINDOW=14600 RES=0x00 SYN URGP=0 Sep 23 22:05:23 box-1719 kernel: [ 3451.289487] IN= OUT=eth0 SRC=10.119.2.1 DST=10.119.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=119 DPT=40617 WINDOW=28960 RES=0x00 ACK SYN URGP=0 Client:~$ telnet 10.119.0.2 119 -> Der Port 119 auf dem Gateway sollte gem. Firewall-Konfiguration via DNAT auf den Port 119 des News Servers umgeleitet werden. Es kommt jedoch keine Verbindung mit dem News Server zustande (telnet hängt und bricht nach einer Weile ab). Im Log auf dem Gateway finde ich den folgenden Eintrag: Sep 23 22:08:16 v22014042172218235 kernel: [857116.435406] IN=br-ff3l OUT= PHYSIN=bat0 MAC=8e:0a:26:71:bf:90:00:1c:7b:73:df:54:08:00 SRC=10.119.2.36 DST=10.119.0.2 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=22832 DF PROTO=TCP SPT=52595 DPT=119 WINDOW=64240 RES=0x00 SYN URGP=0 MARK=0x1 Das Log auf dem News Server zeigt keinen eingehenden Verkehr auf Port 119 an. Es scheinen also keine Pakete weitergeleitet zu werden. Was mache ich falsch? Hat jemand schon einmal etwas ähnliches versucht und damit Erfolg gehabt? Ich bin für jeden Hinweis dankbar! LG, Bernd -- Firewall-Konfiguration Gateway # Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014 *nat :PREROUTING ACCEPT [3702:235152] :INPUT ACCEPT [3212:206747] :OUTPUT ACCEPT [8954:542098] :POSTROUTING ACCEPT [8935:540382] -A PREROUTING -d 10.119.0.2/32 -p tcp -m tcp --dport 119 -j LOG -A PREROUTING -d 10.119.0.2/32 -p tcp -m tcp --dport 119 -j DNAT --to-destination 10.119.2.1:119 -A POSTROUTING -o tun0 -j MASQUERADE COMMIT # Completed on Tue Sep 23 21:55:18 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014 *mangle :PREROUTING ACCEPT [704182:103262550] :INPUT ACCEPT [672346:85451160] :FORWARD ACCEPT [31746:17807633] :OUTPUT ACCEPT [233575:44641946] :POSTROUTING ACCEPT [265321:62449579] -A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff COMMIT # Completed on Tue Sep 23 21:55:18 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014 *filter :INPUT ACCEPT [142415:25433618] :FORWARD ACCEPT [18900:11366277] :OUTPUT ACCEPT [57866:17656625] COMMIT # Completed on Tue Sep 23 21:55:18 2014 Firewall-Konfiguration News Server # Generated by iptables-save v1.4.14 on Tue Sep 23 22:04:33 2014 *nat :PREROUTING ACCEPT [67:4573] :INPUT ACCEPT [9:1051] :OUTPUT ACCEPT [2:146] :POSTROUTING ACCEPT [2:146] COMMIT # Completed on Tue Sep 23 22:04:33 2014 # Generated by iptables-save v1.4.14 on Tue Sep 23 22:04:33 2014 *filter :INPUT ACCEPT [150:11409] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [79:18200] -A INPUT -d 10.119.2.1/32 -p tcp -m tcp --dport 119 -j LOG -A OUTPUT -s 10.119.2.1/32 -p tcp -m tcp --sport 119 -j LOG COMMIT # Completed on Tue Sep 23 22:04:33 2014 _______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
