[Mr_Maniac]

Hallo!
Ich habe mir einen Linux-Router/Server zurechtgebastelt (mit Devil-Linux)..
Er funktioniert auch einwandfrei, bis auf das Forwarden von Ports auf meinen PC...

Ich habe auf meinem PC z.B. einen WebServer laufen, und es wäre schön, wenn er immernoch über das Internet zu erreichen wäre...

Ich habe schon ohne Ende gegoogled, aber keine dieser Methoden funktioniert richtig...
Mache ich irgendwas falsch, oder sind die Standardeinstellungen von Devil-Linux damit nicht "kompatibel"?

Hier das Devil-Linux IPTABLES (Firewall)-Skript:
firewall.rules

Und hier mein Versuchs-Script um die Ports forwarden zu lassen:
scaript (Ich habe es nur vorläufig so genannt)

Meine Konfiguration:
eth0 = IP:192.168.1.1 - An dem Interface hängt das Modem
eth1 = IP:192.168.0.254 - Zum Netzwerk
ppp0 = Internet-Interface

In der "firewall.rules" ist ein Abschnitt, den man auskommentieren kann, um den Port 80 forwarden zu lassen, aber auch das funktioniert nicht.

Wenn ihr Lösungen habt, wisst was ich falsch gemacht habe, oder auch nur irgendeinen Hinweis habt, dann wäre ich sehr froh

Danke schonmal im Vorraus für die Antworten...

Und... Falls ihr noch irgendwelche Details zum System braucht, dann fragt mich einfach...

[Rika]

Kann es sein daß du sämtliche Port 80 Forwardings in scaript auskommentiert hast?

[Mr_Maniac]

Alles, was in scaript steht, habe ich schon ausprobiert und nacht dem probierten dann auskommentiert...
Ich habe sogar mal ALLES GLEICHZEITIG getestet...
ES GEHT NICHT...
Man kommt vom Internet aus NICHT auf meinen WebServer...
Immer nur "Connection Refused"...
Ach ja... Noch eine Kleinigkeit am Rande:
Der Samba-Server funktioniert auch nicht richtig...
Obwohl ich alles richtig konfiguriert habe (Habe schon mehrere Samba-Server eingerichtet...)

Muss ich nach dem Ausführen meines Scriptes etwa noch irgendwas starten/stoppen/restarten?

[Rika]

Naja, iptables muss halt beendet und neugestartet werden, damit das neue Ruleset aktiv wird. Steht doch auch im Manual.

Ansonsten dürfte der vorletzte Versuch in scaript korrekt sein.

Dieser Beitrag wurde von Rika bearbeitet: 06. Mai 2004 - 18:59

[Mr_Maniac]

Okay...
Ich bin anscheinend doch dämlicher, als ich dachte...

Was meinst du mit vorletztem Versuch?
Das hier:
#$IPTABLES -A PREROUTING -i eth0 -t nat -p TCP --dport 80 -j DNAT --to 192.168.0.1:80

oder das hier:
#$IPTABLES -A PREROUTING -i ppp0 -t nat -p TCP --dport 80 -j DNAT --to 192.168.0.1:80
#$IPTABLES -A FORWARD -p TCP -d 192.168.0.1 --dport 80 -i ppp0 -o eth1 -j ACCEPT

Zum Thema neu starten:
Meinst du mit Manual
man iptables ?
Da steht nämlich dummerweise nichts von neu starten...
Wie genau mache ich das?

Ich habe mal die Zeilen beim scaript wieder aktiviert und den Server neu gestartet... Nur leider funktioniert es immernoch nicht...

[Rika]

Das mit ppp0 ist richtig.

/etc/rc.d/init.d/ipchains stop
/etc/rc.d/init.d/ipchains start

eventuell auch mal das Modul mir rmmod unloaden und mit modprobe wieder loaden.
BTW, hast du chown root firewall.rules & chmod 700 firewall.rules gesetzt? Iptables läuft ja auf su-Rechten.

Dieser Beitrag wurde von Rika bearbeitet: 06. Mai 2004 - 20:42

[Mr_Maniac]

So... Hmm...
ipchains gibt es hier garnicht...
Schon komisch...
die firewall.rules hat die korrekten berechtigungen...
Aber ich habe sie zur Vorsicht noch mal gesetzt...
Aber leider funktioniert das immernoch nicht...

Irgendwas ist da SEHR komisch!?!?!?!?

P.S.: Ich habe jetzt schon soviel mit vim editiert, dass ich schon glatt versucht habe, diesen Beitrag mit ":w" und ":q" abzuschicken..

Dieser Beitrag wurde von Mr_Maniac bearbeitet: 06. Mai 2004 - 20:56

[Rika]

Dann halt /usr/sbin/iptables stop&start :w :q

[Mr_Maniac]

Vielen Dank, dass du dir die Mühe machst, und dich damit beschäftigst...

Also:
Auch iptables stop und iptables start verweigert er...

Egal wie viel ich rumeditiere, ER MACHT ES EINFACH NICHT...
Und Samba funktioniert auch nicht so, wie es soll...

Wenn ich nur wüsste, was da los ist

[Rika]

Hm... schon mal mit IPCop probiert? Das ist ein Managementlayer für die IPChains/IPTables.

[Mr_Maniac]

Ich versuch's mal...

[MDK]

Welche IP hat der interne Rechner, der den Webserver am laufen hat?

[Rika]

Aus den Logs ganz klar ersichtlich. 192.168.0.1 und ich gehe mal davon aus, daß das Subnetting auch stimmt.

[MDK]

Was soll eigentlich der Scheiß:

#$IPTABLES -A PREROUTING -i ppp0 -t nat -p TCP --dport 80 -j DNAT --to 192.168.0.1:80
#$IPTABLES -A FORWARD -p TCP -d 192.168.0.1 --dport 80 -i ppp0 -o eth1 -j ACCEPT

Du must schon die comments (#) entfernen, sonst tut die Zeile gar nix.

Wobei du deine IPs schon etwas komisch vergeben hast, normalerweise vergibt man ja die:

192.168.0.1 für den Router und die Clients haben 192.168.0.2 - 192.168.0.254.

Du musst auch aufpassen, wie du jetzt prüfst ob das Forwarding funktioniert, denn wenn du von nem internen Rechner z.B. deinen dynsdns Namen des Routers im Browser eingibst, wird die Regel nie benutz, da du ja nicht über das ppp0 Interface reingehst.

Dieser Beitrag wurde von MDK bearbeitet: 06. Mai 2004 - 22:52

[Rika]

1. Hat er oben schon beschrieben, daß das eine Doku bereits versuchter Einträge ist. Die jeweiligen zwei Zeilen waren bei jedem Test selbstverständlich nicht auskommentiert.
2. Vollkommen falsch. 0=Reserved, 255=Reserved for Subnet Host Translation Mechanism, 1-x =Clients (numbered), 254-y = Routers, Servers. Einzelne Router bekommen demnach die 254. Steht alles in RFCs und Best Practice Guides.
3. Hm.. interessant. Also entweder auch mal dafür einen Regelsatz einbauen oder mal mit einem HTTP-Proxy testen.