[fli4l] Portweiterleitung an Server mit fremden Standardgateway

Christoph Schulz fli4l at kristov.de
So Apr 17 23:39:33 CEST 2016


Hallo!

Gotthard Anger schrieb:

> Das ist mein zugehöriger Regelsatz:
> PF_POSTROUTING_2='if:any:IP_NET_1_DEV any @webserver:81 MASQUERADE'
> PF_FORWARD_6='prot:tcp if:any:IP_NET_1_DEV any @webserver:81 ACCEPT'
> [...]
> Der Browser kann keine Verbindung zu <fli>:81 aufbauen, weder von intern
> noch von extern.
> Daraus schließe ich, dass der Port auf dem Fli überhaupt nicht offen
> ist. Netstat -na auf dem Router listet mir auch keinen Port 81 mit
> Status "listen".

Ähm, wenn du einen Port auf dem fli4l als "lauschend" haben möchtest, so 
dass Pakete, die dorthin gerichtet sind, direkt woandershin weitergeleitet 
werden, dann brauchst du PREROUTING (a.k.a. Port-Forwarding). FORWARD reicht 
*nicht* aus. In deinem ersten Beitrag hast du die Regel

  PF_PREROUTING_1='prot:tcp dynamic:81 DNAT:<ziel-ip>'

aus der Dokumentation zitiert, die fehlt mir aber hier auf einmal. Versehen? 
Absicht?

D.h. du brauchst also:

  PF_PREROUTING_x='prot:tcp any dynamic:81 DNAT:@webserver'

(POSTROUTING-Regel wie gehabt, FORWARD-Regel fällt weg)

"dynamic" musst du evtl. ersetzen, wenn es nicht darum geht, dass die 
Anfragen von extern an den fli4l kommen, sondern intern aus dem LAN. Es 
können natürlich auch mehrere PREROUTING-Regeln existieren, oder du ersetzt 
"dynamic" einfach durch "any". Alles je nachdem, wie du es brauchst.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L