Søg
Avatar billede mabi Nybegynder
18. oktober 2004 - 20:56 Der er 13 kommentarer og
1 løsning

Hjælp til Iptables

Hej....
Har lidt problemer med iptables.
Jeg har en debian som router med iptables, hvor jeg kører web mail ftp osv.., så har jeg en anden debian som jeg bruger til webcamserver med apache på port 81,..og nogle andre porte til cams... nu kommer det.
Når jeg skriver http://192.168.1.3:81 får jeg fat i serveren OK.
Når jeg skriver http://mitdomænenavn.dk:81 får jeg fat i serveren HVIS JEG ER PÅ LOKALE NETVÆRK OK.
Hvis jeg skriver http://mitdomænenavn.dk:81 UDENFOR NETVÆRKET (ude i byen) så får jeg <serveren findes ikke> ???? jeg kan ikke finde fejlen, og her er mit iptables script fra routeren der er ikke noget på den anden.

#!/bin/sh

# Sletter regler
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.1.0/24'
LAN_NIC='eth1'
WAN_IP='80.XXX.XXX.XX/24'
WAN_NIC='ppp0'
WEBCAM_SERVER='192.168.1.3'

# Henter moduler
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 143
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 783
iptables -A INPUT -j ACCEPT -p tcp --dport 993

# Apc - UPS
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 6543

# Forward webcam-server port 81
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 81 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8081 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8082 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8083 -j DNAT --to $WEBCAM_SERVER

# Samba
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 137
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 138
iptables -A INPUT -j ACCEPT -p tcp -s 192.168.1.0/24 --dport 139
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 137
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 138
iptables -A INPUT -j ACCEPT -p udp -s 192.168.1.0/24 --dport 139

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Avatar billede arne_v Ekspert
18. oktober 2004 - 20:59 #1
Det lyder da som om den eksetrne DNS server for dit domæne ikke
oversætter mitdomænenavn.dk til den eksterne IP adresse
Avatar billede mabi Nybegynder
18. oktober 2004 - 21:10 #2
Hmmm hvis jeg skriver http;//mitdomænenavn.dk så får jeg fat i serveren.
det er kun hvis jeg prøver med port 81
Avatar billede mabi Nybegynder
18. oktober 2004 - 21:15 #3
Ja alså den første som bruger port 80 :-))
Avatar billede langbein Nybegynder
18. oktober 2004 - 21:24 #4
Det stemmer, firewall fungerer 100 % korrekt. Den er satt opp til å blokkere trafikken inn til webcam server med mindre denne trafikken kommer fra lan.. (den har bare åpning for serverprosesser som kjører på selve gateway maskinen ikke til servere bak.) Forsøker å komme tilbake om litt... forresten det som mangler ser ut til bare å være litt (Forsøker et par linjer på sparket):

#Aapning for trafikk til web cam server.
iptables -A FORWARD -j ACCEPT -p tcp --dport 81
# STATE RELATED for web cam server.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Avatar billede bufferzone Praktikant
18. oktober 2004 - 22:22 #5
Se nu kan det godt være jeg er en gammen krakiler, men INPUT kæden er til trafik til firewallen, du åbner med andre ord for en masse porte til firewallen og ikke igennem den. F.eks. hvis din firewall ikke er en windows filserver, har jeg svært ved at se hvorfor du åbner netbios porte (samba) til firewallen. Ligeså åbner du for web og mail til firewallen og det er selvfølgelig naturligt hvis du har din web og mail server PÅ din firewall.

Hvis du virkelig har alle disse tjenester kørende PÅ din firewall, vil jeg foreslå at du dropper firewallen, den har stort set ingn mening alligevel. Hvis du derimod har disse servere stående BAGVED din firewall, så skal du tillade trafikken GENNEM din firewall pg det gøres med FORWARD kæden

Men jeg er seløvølgelig også bare en gammel krakiler
Avatar billede bufferzone Praktikant
18. oktober 2004 - 22:29 #6
http://www.giac.org/practical/Peter_Vestergaard_GCFW.zip

Ovenstående dokument indeholder en ret god tutorial til IPTables med et rigtigt godt kommenteret eksempel som jeg vil anbefale at du kikker grundigt på. Det er skrevet af Protegos Tekniske direktør
Avatar billede langbein Nybegynder
18. oktober 2004 - 23:12 #7
"du åbner med andre ord for en masse porte til firewallen og ikke igennem den.."

Spørsmålets tekst:

"Jeg har en debian som router med iptables, hvor jeg kører web mail ftp osv.."

Dette er jo et forholdvis vanlig konsept for hjemmeservere og faktisk mindre businessservere også, en kombinert firewall gateway. Både SME server og Clark Connect er vel laget ut fra dette prinsippet. I forhold til et slikt konsept så er det riktig å benytte input / output chain. (Håndbøker i firewall design fraråder jo riktig nok en slik løsning, altså at man kombinerer firewall og serverfunsjoner på denne måten, men for hjemmebruk og liknende så bør det fungere ok greit nok.)

Videre, spørsmålets tekst:
"så har jeg en anden debian som jeg bruger til webcamserver med apache på port 81,.."

Her kommer det fram at det finnes en egen separat server der man kjører web cam osv. Her vil man sette opp rett filtrering gjennom forward chains, dvs åpning inn pluss statefull inspection ut:

#Aapning for trafikk til web cam server.
iptables -A FORWARD -j ACCEPT -p tcp --dport 81
# STATE RELATED for web cam server.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Forresten ..

"en anden debian som jeg bruger til webcamserver med apache på port 81"

mabi -> hvordan har du løst dette. (Er på jakt etter gode ideer mht webcam.)
Avatar billede mabi Nybegynder
19. oktober 2004 - 16:23 #8
#Aapning for trafikk til web cam server.
iptables -A FORWARD -j ACCEPT -p tcp --dport 81
# STATE RELATED for web cam server.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

kan stadig ikke få fat i serveren !!!!

langbein > min webcam server kører med motion http://www.lavrsen.dk/twiki/bin/view/Motion/WebHome
så har jeg lånt hans webdel og lavet den om så den passer til mig http://www.lavrsen.dk/sources/index.php
jeg 3 kamera 2 stk USB logitech, 1 stk philips CCD på et tvkort bttv878

MEN jeg men jeg mangler bare at kunne få fat i dem fra nette ??
Avatar billede langbein Nybegynder
19. oktober 2004 - 23:11 #9
For troubleshooting og for å finne ut om problemet ligger i firewaaling rules eller ikke:

Endre midlertidig slik, og forsøk om du da kommer inn:

iptables -P FORWARD ACCEPT

Dette vil medføre at disse prerouting setningene straks vil virke:

# Forward webcam-server port 81
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 81 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8081 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8082 -j DNAT --to $WEBCAM_SERVER
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 8083 -j DNAT --to $WEBCAM_SERVER
Avatar billede langbein Nybegynder
19. oktober 2004 - 23:20 #10
For videre feilsøking så kunne du jo eventuelt også ta vekk kravet om at mottaks ip skal være $WAN_IP (Du har ikke fortalt hvordan din oppkopling ser ut, dersom du for eksempel har et adsl/router modem forran firewall over, så vil den ikke virke.)

For å eleminere problemstillingen omkring rett ekstern ip forsøk også noe slikt:

iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 81 -j DNAT --to $WEBCAM_SERVER

Endres til:
iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 10.x.x.x
(Der 10.x.x.x er den virkelige ip adressen til den ineterne serveren.)

Dersom det er nødvendig å forwarde de andre portene også så gjør du det på samme måte.

Et greit prinsipp for konfigurering av firewall, det er i grunnen å først sette det hele ganske åpent, slik at man får i gang den datatrafikk som man ønsker. Etter at dette har kommet på plass, så stenger man sukksessivt av for trafikken til man har det så lukket som praktisk mulig mens trafikken fremdeles kjører.
Avatar billede mabi Nybegynder
20. oktober 2004 - 17:11 #11
Kan ikke få det til at virke.
Min forbindelse er direkte fra netkort til adsl-modem og opkobler med pppoe så det er ppp0

hvis jeg bruger iptables -P FORWARD ACCEPT så er der ikke noget der virker ????

har prøvet at udsikfte $wan_ip med ppp0 virker heller ikke
Avatar billede langbein Nybegynder
21. oktober 2004 - 00:15 #12
Du kan jo sende den ekterne ip eller domeneadresse til arne2002 hos hotmail.com, så kan jeg se hva som står åpent. ppp0 skulle jo eller i prinsipp fungere likt.
Avatar billede mabi Nybegynder
21. oktober 2004 - 19:33 #13
Tjjaa, jeg ved ikke lige hvorfor men , nu virker det jeg har genstartet serveren.
måske var det, det skulle til ?????
firewall scriptet er nu det samme som før ,men med disse to liner

#Aapning for trafikk til web cam server.
iptables -A FORWARD -j ACCEPT -p tcp --dport 81
# STATE RELATED for web cam server.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

langbien tak for hjælpen. :-))
Avatar billede langbein Nybegynder
26. oktober 2004 - 22:36 #14
Takker for tilbakemelding. Det var slik det skulle fungere og det er også greit å vite at det faktisk fungerte slik.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
htaccess virker ikke på Ubuntu Server Af Strawberry i Linux 1 03/01/202621:50 04/01/202615:33
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 19:26 Opstart af ny computer Af Bent i Windows
I går 20:06 Hjemmeside der virker både på mobil og computer Af Strawberry i PHP
I går 17:08 Problemer med borger.dk Af valby i Windows
I går 14:19 Fejl Af buls i Windows
I går 13:44 Adgang til Google konto via Ipad Af cyperbent i E-mail programmer
White papers
Flere white papers »