[fli4l] Portweiterleitung an Server mit fremden Standardgateway

Kay Martinen kay at martinen.de
Di Apr 5 22:44:42 CEST 2016


Am 05.04.2016 um 19:20 schrieb Gotthard Anger:
> Am 05.04.2016 um 18:07 schrieb Christoph Schulz:
>> Hallo!
> 
>> Also die Frage lautet: Wie kann es sein, dass du die Adresse des von dir
>> kontrollierten fli4l-Routers (zumindest habe ich das so verstanden) nicht
>> kennst? 0.0.0.0 ist keine gültige Adresse.
> Hier gibt es ein Missverständnis
> Ich kenne sehr wohl die Adresse des Fli (im gleichen Subnetz wie der
> Webserver),

Dann müsste ein ping zwischen den beiden ja funktionieren. Versuche mal
vom FLI aus den webserver an zu pingen und dann auch vom webserver den
FLI. Beides sollte gehen! Wenn nicht, hat evtl. deine Verkabelung/Switch
einen Knacks.

> aber ich kann nicht im Voraus wissen, mit welcher Adresse
> der User reinkommt, der  die Website auf Port 81 aufmachen will.
> Deswegen kann ich dem Webserver keine Route für diesen Zweck
> präsentieren, sondern der Fli muss maskieren.

Ja, eben. Und indem der FLI maskiert ersetzt er die adresse mit der der
externe nutzer rein kommt durch die Adresse seines internen interfaces.
Jedenfalls ist das der sinn von masquerade.

Wenn also von außen jemand deinen fli auf ppp0 von 123.123.123.123 aus
anspricht, und den webserverport verlangt, dann sieht dein interner
webserver nur die IP des FLI als quelle. Jedenfalls sollte es so sein,
denke ich.

Hmm, oder begehe ich da jetzt einen Denkfehler?

> ---
> PF_POSTROUTING_2='if:any:pppoe @webserver 81 MASQUERADE'
> ---
> allerdings erscheint bei dieser Regel in der Webgui vom Fli als Source
> der @webserver.

Ich hab portforwards immer nur temporär in der GUI (für remote-hilfe per
reverse-vnc) eingetragen und darum kommt mir das hier irgendwie komisch
vor. Ist postrouting wirklich der richtige platz dafür?

Portforwards gehören doch in die forward-chain oder nicht???

Kay

-- 
https://www.linuxcounter.net/cert/224140.png


Mehr Informationen über die Mailingliste Fli4L