[Freedom]

wie folgt sieht es aus, will vom Internet auf die Ports 501 und 502 zugreifen. so siehts momentan aus.

WAN ----> Router 1 (192.168.2.1) ----> Router 2 (192.168.2.2) ----> Router 3 (192.168.2.3)

Router 1 lässt es an Router 2 durch, das funktioniert auch, nur an Router 3 kommt der Portcheck von ping.eu nicht an. Was hat man denn bei Router 2 einzutragen?

[Astorek]

Sorry, aber bei sowenig Infos wird dir mit ziemlicher Sicherheit keiner helfen können.

- Was hat die Frage mit "iptables" zu tun (ich vermute, du meintest das im Threadtitel)?
- Von wo aus wird der Portcheck denn überhaupt gestartet?
- Wo steckt das LAN, falls der Portcheck darüber ausgeführt wird?
- Welche Subnetzmaske haben die Router? Liegen die alle etwa im selben Netz? Wird von einem Router zum anderen ein NAT durchgeführt?
- Defaultgateway aller Netzwerkgeräte?

Dann noch:
- was heißt, der Ping-check kommt "nicht an"? Woher weißt du das, bzw. siehst zu z.B. in irgendeiner Firewall-Regel, dass der Ping geblockt wird? Wie kannst du den Router überhaupt konfigurieren, schon über eine Linux-Shell, oder? (Sonst weiß ich immer noch nicht, was das "iptable" im Titel verloren hat...)


Je mehr Infos du uns geben kannst, desto präziser können wir helfen. Nach allem, was wir bis jetzt durch deine Angaben wissen, ist - quasi garnichts^^...

Ich schmeiße jetzt einfach mal eine kleine FW-Regel von meinem Router ein, der eine Portweiterleitung ermöglicht, vielleicht hilft dir das auch schon. Sonst, wie gesagt, bitte mehr Infos:

# Portforwarding von 501 auf 192.168.1.114:501
iptables -t nat -A PREROUTING \
  -i wan0 \
  -p tcp --dport 501 -j DNAT \
  --to-destination 192.168.1.114:501

iptables -A FORWARD \
  -i wan0 -o lan0 \
  -p tcp --dport 501 --sport 1024:65535 \
  -d 192.168.1.114 \
  -m state --state NEW,RELATED,ESTABLISHED \
  -j ACCEPT

(EDIT: Davon ausgehend, dass nach dem Router noch ein Gerät im LAN steht, dass die genannte IP-Adresse besitzt...)

Dieser Beitrag wurde von Astorek bearbeitet: 20. September 2010 - 23:23

[Freedom]

Also der Portcheck kommt vom Internet an den Router 1 (Speedport von Telekom (W 722V)) dort ist der
Port 501 & 502 für den Router 2 freigegeben. Auf dem Router 2 läuft dd-wrt. Dieser soll den "port" weiter-
leiten an den Router 3 (Fritzbox 7170 mit freetz). Wie folgt sind die Router eingestellt.

Router 1:
- IP zum LAN - 192.168.2.1
- Subnetz - 255.255.255.0
- WAN - Telekom Einwahl (VDSL)
- Router 2 am Lanport angeschlossen

Router 2:
- IP - 192.168.2.2
- Subnetz - 255.255.255.0
- Gateway - 192.168.2.1
- Router 1 geht an den Lanport 1
- Router 3 geht an den Lanport 2
- WAN-Port wird nicht benutzt

Router 3:
- IP - 192.168.2.3
- Subnetz - 255.255.255.0
- Gateway 192.168.2.2
- Router 2 geht an den Lanport 1
- WAN Port wird nicht benutzt


Andere Geräte haben den GW 192.168.2.1, Laptop wovon ich auch den port benutzen will ist an
den Router 1 angeschlossen. Laptop hat folgende einstellung: 192.168.2.4; 255.255.255.0 GW
192.168.2.1

Wie kann ich als vom Internet auf den Port 501 und 502 vom Router 3 zugreifen? Es hängt also
eigentlich nur am Router 2, denn der Portcheck auf den Port 22 lässt Router 1 zu Router 2, der diesen
benutzt für SSH

[bb83]

Was hast du bis jetzt gemacht, und wo hängt es jetzt genau ? Und sind die entsprechenden Routen gesetzt ?

[Freedom]

portfreigabe auf router 1, portweiterleitung auf router 2 und auch dmz für den router 3 eingerichtet,
kein erfolg

[bb83]

Was leitest du genau wohin, und auf welche IP ?
So: *:501 -> 192.168.2.2:501 -> 192.168.2.3:501 ?

Und was zum Teufel ist das für eine wirre Config ?
Wie sehen die Routingtabellen am Client und den Routern aus?
Wen ich das richtig sehe kannste auch direkt von Router 1 auf den 3ten eine Portweiterleitung machen, da die alle im gleichen Netz stecken und du eigentlich nur kaskadiert hast, es sei denn du hast an den Lan-Ports auch Regeln angelegt ?

Dieser Beitrag wurde von bb83 bearbeitet: 21. September 2010 - 20:53

[Freedom]

Ich muss das wo wirre fahren weil der Router 1 die Portweitergabe MAC-Adresse und IP-gebunden ist.
Dieser erkennt nur Rechner an, aber keine Router. Also musste ich beim Router 2 die MAC adresse
fälschen, damit Router 1 das frisst.

Ich glaube es hat funktioniert mit

/usr/sbin/iptables -t nat -I PREROUTING -p tcp --dport 501 -j DNA
T --to 192.168.2.3

 /usr/sbin/iptables -I FORWARD -p tcp --dport 501 -j ACCEPT

wäre das korrekt? es ist aufjedenfall von außen erreichbar von ping.eu

[bb83]

Zitat

Ich muss das wo wirre fahren weil der Router 1 die Portweitergabe MAC-Adresse und IP-gebunden ist.
Dieser erkennt nur Rechner an, aber keine Router. Also musste ich beim Router 2 die MAC adresse
fälschen, damit Router 1 das frisst.

Wie will Router1 denn wissen das Router2 ein Router ist ?
Ich weiß, das z.B. FritzBoxen keine Portweiterleitung auf ihre interne IP gestatten, liegt es vlt. an so einem Phänomen ?

Weiterhin bleibt die Frage, was du mit der Konstellation erreichen willst ? Alles steckt in einem Subnetz und im Prinzip an einem Switch (kaskadierung über die LAN Ports) ? Oder hab ich da was übersehen ?

[Freedom]

Router 1 ist so durch die Telekomsoftware kastriert das man Portweiterleitung nur dann aktivieren kann
wenn ein aktiver PC an dessen angeschlossen ist, dann hat man zur auswahl die MAC und IP vom PC.
Nun also ne alte LANCard angeschlossen, alles eingestellt, und die Macadresse der Karte auf dem Router
2 eingetragen bzw übernommen. So denkt Router 1 das Router 2 ein Rechner ist, weil der Eintrag drin
stehen bleibt auch wenn der Rechner kurz aus ist, und leitet alles brav weiter.

Auf Router 3 laufen zwei Dienste die ich brauche über Internet in meine Gartenlaube. Fritzbox alleine
erlaubt das nicht, aber mit Freetz kann man die AVM Firewall dazu überreden. Es hing also nur am
Router 2, welcher die Ports nicht durchgeleitet hatte zu Router 3. Werde am Wochenende sehen ob es
funktioniert hat.

[bb83]

Zitat

Nun also ne alte LANCard angeschlossen, alles eingestellt, und die Macadresse der Karte auf dem Router
2 eingetragen bzw übernommen

Wenn du die beide gleichzeitig in Betrieb hast wird es witzig, ist dir klar oder ?

Router2 ist doch an Router1 angeschlossen, also sollte Router1 doch auch die IP und MAC anzeigen ? Es gibt ja nunmal keine "Router" Mac Adressen 0o?
Ich hoffe nicht, dass du mit deiner Config irgendwelche Sicherheitsmaßnahmen treffen willst ?
Edit:
Wenn du willst kann ich einen Portscan auf deine IP machen, solltest du Interesse haben schick mir deine IP per PM

Dieser Beitrag wurde von bb83 bearbeitet: 21. September 2010 - 21:43

[Freedom]

Nein Sicherheitsmaßnahmen eigentlich nicht.
Ohne Scheiss, der Router 1 zeigt mir den Router 3 nicht in der Liste an...

Fritzen kann man leider den 722v nicht.