← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #100888

Re: Ang Iptables den modsatte vej

  Thread PreviousDate PreviousThread Next
Har opgivet og få det til og virke da det tyder på at der er ting i mit firewall script der spærrer for den vej. Kan nemlig hverken forward den vej, sætte en web proxy eller noget op på serveren for at kunne besøge ip'erne på netværket lige før internettet. 

Hilsen Casper

--------------------------------------------------
From: "Casper Sørensen" <casper@xxxxxxxxxx>
Sent: Tuesday, October 26, 2010 3:59 PM
To: <sslug-teknik@xxxxxxxx>
Subject: Re: [TEKNIK] Ang Iptables den modsatte vej


From: "Jon Bendtsen" <bendtsen@xxxxxxx>
Sent: Tuesday, October 26, 2010 3:37 PM
To: <sslug-teknik@xxxxxxxx>
Subject: Re: [TEKNIK] Ang Iptables den modsatte vej


On 26/10/2010, at 15.35, Casper Sørensen wrote:


From: "Jon Bendtsen" <bendtsen@xxxxxxx>
Sent: Tuesday, October 26, 2010 3:26 PM
To: <sslug-teknik@xxxxxxxx>
Subject: Re: [TEKNIK] Ang Iptables den modsatte vej


On 26/10/2010, at 15.23, Casper Sørensen wrote:


From: "Jon Bendtsen" <bendtsen@xxxxxxx>
Sent: Tuesday, October 26, 2010 3:01 PM
To: <sslug-teknik@xxxxxxxx>
Subject: Re: [TEKNIK] Ang Iptables den modsatte vej


On 26/10/2010, at 14.52, Casper Sørensen wrote:


Heh Sslug
Jeg vil høre om i ved om det er muligt at forward en port ud af wan på serveren via iptables? Grunden til det er at jeg har en modem/router (fullrate forbindelse) står foran serveren hvor jeg gerne vil kunne connect til routeren inde bag fra serveren af. Grunden er at det er serveren der styrer alt internet til mit lokale netværk.
serveren har kontakt med det interne netværk via eth1 ip range 10.0.0.0/24, og modem'et giver en 192.168.0.0/8 (mener jeg det er) til serverens eth0. 

Det er næppe den ip adresse modemmet giver, men måske det netværk.
Ja det er modem'ets netværk. Serverens eth0 får ip'en (som er static) 192.168.0.50 og serverens interne netkort (eth1) er static 10.0.3.1 som både er dns-server, dhcp-server og gateway for mit 10.0.0.0/24 netværk
Hvilket vil sige at jeg gerne ville kunne kalde 10.0.3.1:8881 fra det interne netværk (eth1) og så komme i kontakt med modem'et som hedder 192.168.0.1:80 (kablet via eth0)
Hvorfor virker det ikke bare at gå direkte til 192.168.0.1:80 når du kommer inde fra?
Grunden er at når jeg sidder inde på mit netværk så ser den jo 192.168.0.1:80 som et fremmet net den ikke kender da mit netværk er 10.0.0.0/24. Man kan på en måde se det som at 192.168.0.0/8 er internet og 10.0.0.0/24
Kører din interne server nat? Evt. kunne du sætte en apache webproxy op.
Ja det vil jeg mene da jeg bruger nat regler for og få ip telefon til og virke 
#Phone
iptables -A PREROUTING -t nat -i $WANIF -p udp --dport 5060 -j DNAT --to $PHONE:5060 iptables -A PREROUTING -t nat -i $WANIF -p udp --sport 5060 -j DNAT --to $PHONE:5060
Der er et eksempel på nat reglen fra min telefon bare for at vi er sikker på at det er samme område vi snakker om. Bruger også samme system til ssh, webserver, intern mailserver, spil der skal bruge porte, etc...
Så burde du kunne lave en NAT regel således at trafik fra dit interne netværk som sendes til 192.168.0.1:80 ser ud som om det kommer fra 192.168.0.50
Valgte lige og ligge hele mit script på pastebin for og lige være sikker http://pastebin.com/pu6B7ieX, for jeg kom lige til og se længere oppe ang routes at det nok vil give problemer grundet den måde scriptet er skrevet på ang routes og nat.
Vil hvertfald gerne have jeres øjne på det for at jeg ikke får lukket helt ned for mit net (worst case da der er routing i scriptet)

References

  Thread PreviousDate PreviousThread Next