sslug-teknik team mailing list archive

Thread
Date

port mapning med ipchains/masquerading

To: sslug-teknik@xxxxxxxx
From: "Christian Rasmussen" <chr@xxxxxxxxxxxx>
Date: Mon, 19 Mar 2001 14:54:54 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG

Jeg har en linux box med 2 netkort, et med en ekstern IP adresse og et med
en intern IP adresse. Brugerne på det interne net benytter linux boxen som
gateway, ipchains kører med følgende opsætning (direkte fra
/etc/sysconfig/ipchains):

:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A forward -s 10.0.0.1/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ


Jeg skal nu have mappet port 25 igennem til en intern mail server, således
at linux boxen lytter på tcp port 25 og sender alle requests videre til en
intern server, jeg fik af vide at man med ipchains skal bruge ipmasqadm for
at mappe porte, jeg har forsøgt med kommandoen:

ipmasqadm mfw -I -m 1 -r 10.0.0.56 25

Jeg kan se at den umiddelbart har gjort det den skulle med kommandoen:

ipmasqadm mfw -L

Men det virker ikke!! Jeg får connection refused når jeg forsøger at
telnette til port 25 på linux boxen! Det virker lidt som om at "-m 1" er en
reference til ipchains, men vil det sige at det skal tilføjes min ipchains
kommando før det vil virke?? Ved en "netstat -l" vil port 25 så stå her når
den er mappet videre eller kan man kun se det via ipmasqadm mfw -L ?

Derudover, er der muligheder for logning? Altså så man kan se hvilke
requests brugerne sender?

Jeg har ikke det helt store kendskab til ipchains, i mit setup med
masquerading, bør jeg tilføje nogle sikkerhedsbegrænsninger? Eftersom jeg
kører PAT skal klienterne jo etablere forbindelsen, så der burde ikke være
det samme sikkerhedsproblem med priviligerede porte (under 1024) som hvis de
havde en officiel IP adresse?


mvh
Christian Rasmussen