hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 01.07.2014, 18:44 Post subject: Portweiterleitung (DNAT) |
|
|
Portweiterleitung (DNAT) wird von SSV nicht per Web-Konfiguration unterstützt.
Durch zusätzliche iptables-Einträge in der Firewall kann man so etwas natürlich auf eigenes Risiko hinzufügen.
Benötigt werden diese zwei bzw. vier Zeilen:
Code: | iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport <QUELLPORT> -j DNAT --to <ZIELADRESSE>:<ZIELPORT>
iptables -A FORWARD -p tcp -i ppp0 -d <ZIELADRESSE> --dport <ZIELPORT> -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
|
Die letzten zwei letzten Zeilen könnten schon in den Regeln enthalten sein, wenn "Forwading with IP-Masquerading and NAT" aktiviert wurde, und brauchen dann nicht doppelt geschrieben zu werden.
Soll eine Weiterleitung von LAN2 nach LAN1 erfolgen, ist "ppp0" aus dem Beispiel durch "eth1" zu ersetzen.
Ist das Protokoll UDP, dann ist "tcp" durch "udp" zu ersetzen.
<QUELLPORT> : Der Port im IGW/922 am Modem (ppp0) bzw LAN2 (eth1), z.B. 8008
<ZIELADRESSE> : Ein am LAN1 angeschlossenes Gerät, z.B. 192.168.19.10
<ZIELPORT> : Der Port auf dem externen Gerät, z.B. 80 für einen Webserver
Die Zeilen müssen mit den korrekten Werten manuell am Ende der aktuellen Firewall angefügt werden.
Man holt sich die aktuelle Firewall-Regeln vom Gateway, kopiert alle Zeilen in einen Editor, fügt die obigen Zeilen am Ende an, speichert alles als Text-Datei auf dem PC, aktiviert "User configurated script below", und lädt dann diese Datei hoch.
Bitte beachten!
- "Forwading with IP-Masquerading and NAT" muss in der Konfiguration aktiviert werden, bevor die eigenen Zeilen angefügt werden.
- Durch die Aktivierung von "Forwading with IP-Masquerading and NAT" können sämtliche Pakete aus dem Netzwerk an LAN1 in das WAN-Netzwerk verschickt werden.
- Der Port-Forward funktioniert nur, wenn das angeschlossene System am LAN1 dahinter, als Gateway die IP-Adresse von LAN1 des IGW/922 benutzt!
- Der Zugriff vom Internet auf das Modem funktioniert nicht mit allen Mobil-Funk-Karten, weil die Karten üblicherweise ebenfalls eine Firewall mit NAT haben. Entweder man hat eine Karte mit fester IP-Adresse, oder der Provider kann den Port ebenfalls umstellen. (Feste IP-Adresse könnte ein Sicherheitsrisiko sein!)
- Normalerweise sollte man die aktuelle IP-Adresse bei der DNAT-Regel angeben. Wird eine dynamische Modem-Einwahl benutzt, ist das nicht möglich. Fehlgeleitete Pakete oder mutwillig falsche Pakete können so in das LAN1 gelangen.
- Bitte bedenken, dass damit die Firewall durchlässig und anfällig wird. Es ist unbedingt zu prüfen, dass nicht versehentlich das gesamte Gerät dem Internet geöffnet wurde!
- Bitte bedenken, dass mit Öffnung solcher Ports das System dahinter ungeschützt im Internet sichtbar wird.
_________________ Henry Nestler |
|