[fli4l] Portweiterleitung an Server mit fremden Standardgateway
Sebastian Klein
fli4l at wysiwyng.de
Mi Apr 6 08:24:07 CEST 2016
Moin moin,
Am 05.04.16 um 20:39 schrieb Gotthard Anger:
>> Im Moment teste ich gemäß Peters Empfehlung mit
>> ---
>> PF_POSTROUTING_2='if:any:pppoe @webserver 81 MASQUERADE'
>> ---
>> allerdings erscheint bei dieser Regel in der Webgui vom Fli als Source
>> der Webserver.
> mit
>
> PF_POSTROUTING_2='prot:tcp if:any:pppoe @webserver 81 MASQUERADE'
>
> ändert sich nichts, obwohl ich laut doku gehofft hatte, Quelle und Ziel
> mit dieser Formulierung eindeutig zu bestimmen.
naja die beiden Regeln unterscheiden sich ja auch "nur" im "prot:tcp"
also oben geht auch UDP unten nur TCP.
> Danach habe ich in der Webgui die Weiterleitung eingetragen
> (freundlicher Service übrigens)
> die empfohlene Syntax für den Router lautet
> -
> PF_PREROUTING_1='prot:tcp any dynamic:81 DNAT:@webserver:81'
> -
> Soweit war ich schon mal. Immerhin kann ich auf dem Webserver mit
> netstat Pakete sehen, die an Port 81 gerichtet sind, aber meine WAN-IP
> haben. Naturgemäß wird kein NAT durchgeführt.
richtig und das postrouting sieht von den Paketen nichts mehr.
> Mit PF_POSTROUTING_2='if:any:pppoe @webserver:81 MASQUERADE'
> steht die Webserveradresse schon mal als Ziel drin, aber die
> ppp0-Schnittstelle ist unter out geführt. Beim Webserver kommen auch
> keine Pakete an.
> Wenn ich any und pppoe im Beispiel oben vertausche, mault mkfli4l beim
> Zusammenbauen.
klar da steht ja auch alles was auf 81 irgendwo rein kommt (any) soll
auf pppoe raus gehen... was du möchtest wäre "if:pppoe:ethX" bzw.
"if:any:ethX". Also alles was irgendwo rein kommt und ethX verlässt.
im Ganzen dann so:
PF_POSTROUTING_2='if:any:IP_NET_X_DEV @webserver:81 MASQUERADE'
oder ohne Einschränkung des Interfaces:
PF_POSTROUTING_2='@webserver:81 MASQUERADE'
im PF_FORWARD muß natürlich dann auch eine entsprechende Regel stehen.
PF_FORWARD_X='if:any:IP_NET_X_DEV any @webserver:81 ACCEPT'
> Zusammenfassung der bisherigen Versuche:
> mit prerouting bekomme ich eine Weiterleitung hin, aber ohne NAT, mit
> Postrouting passiert offensichtlich gar nichts.
> Mal sehen, ob ich noch eine zündende Idee habe.
naja postrouting _alleine_ macht ja auch nichts, es braucht schon eine
Forward-Regel damit beim postrouting überhaupt was ankommt.
--
viele Grüße,
Sebastian
[fli4l-team]
Mehr Informationen über die Mailingliste Fli4L