[linux-l] Re: [linux-l] Re: [linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wieder zurück ins LAN?

Schlomo Schapiro belug at schlomo.schapiro.org
Mo Jul 14 09:00:49 CEST 2003 

Hello Peter,

ja, ich hab auch sowas am laufen, mit einer dynamischen IP am external IF.
Ich musste dann auch ein DNAT für Pakete aus dem LAN zum Webserver
aufsetzen, kombiniert mit einem SNAT auf das gleiche, damit die Pakete den
gleichen Weg zum Browser zurückgehen (infos aus dem iptables-HowTo).
<webserver> ist der interne webserver, ext-ip die IP nach draussen. Ich hab
es halt für HTTPS, tut aber für jeden Port. Ich habe ein Script, welches
den DNAT Eintrag nach jeder Einwahl ersetzt.

in POSTROUTING:
target     prot opt source               destination
SNAT       tcp  --  192.168.0.0/16       <webserver>           tcp dpt:https to:<webserver>

in PREROUTING:
DNAT       tcp  --  192.168.0.0/16       <ext-ip> dpt:https to:<webserver>:443


Schlomo

Sunday, July 13, 2003, 3:28:40 AM, you wrote:

> Hi Elmer,

> On Sat, 12 Jul 2003, Elmer Stöwer wrote:

>> > From: Michael Meyer [mailto:mime at gmx.de]
>> > Sent: Friday, July 11, 2003 10:00 PM
>> >
>> > <http://prdownloads.sourceforge.net/susefaq/firewall2-a4-0-9.p
>> > df?download>
>> >
>> > abschnitt 8.1.6
>> Wenn man weiß wo es steht ist es ja einfach;)
>>
>> 1000 Dank!!! Das sieht goldrichtig aus. Auf Anhieb funktioniert es zwar
>> gerad noch nicht, aber das könnte auch an meinem Kater liegen. Schaue mir
>> das noch mal in Ruhe an. Das Dokument macht mir einen extrem hilfreichen
>> Eindruck.

> Ja, aber Du solltest wohl eher Abschnitt 8.1.7 "Access the Webserver in
> DMZ" verwenden und DMZ bei Dir in Gedanken mit LAN ersetzen..

> Der Grund ist beschrieben - das Masquerading gilt nur fuer Pakete, die
> ueber das externe Interface hereinkommen.

> Ich hoffe, dass der SuSE-Firewall dann auch das macht, was ich erwarte
> (ich habe SuSE nicht verwendet, sondern "roh" iptables benutzt):
> Umsetzen der vom LAN ankommenden Pakete vor dem Routing, und dann
> Zurueckrouten ins LAN.

> Hier die rohe Regel, entschuldigt, falls da ein Schreibfehler drinsteckt,
> ich habe gerade kein Linux im Zugriff:

> iptables -t nat -A PREROUTING -i ${lan_if} -s ${lan} -d ${ext_ip} \
>   -p tcp --destination_port ${ext_port} \
>   -j DNAT --to-destination ${web_ip}:${web_port}

> Ich denke, das sollte gehen, und hoffe, dass der SuSE_Firewall die
> gewuenschte Regel produziert. Das kannst Du ja nach Anwenden der FAQ mit
> "iptables -t nat -nvL" nachgucken.

> Es gruesst
> Peter

> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> https://mlists.in-berlin.de/mailman/listinfo/linux-l


-- 
Best regards,
 Schlomo

Mehr Informationen über die Mailingliste linux-l