[gl-como] problema iptables

Pietro Bertera pietro@bertera.it
Mer 11 Lug 2007 09:43:28 CEST 

On Wed, 2007-07-11 at 05:10 +0200, francesco wrote:
> ciao
> 
> stavo facendo un esperimento, e dopo svariati insuccessi chiedo aiuto !
> 
> SCOPO: Fare un forwarding di una connessione che proviene dall'esterno, 
> passa per il router che la gira all' ip del mio server (192.168.0.1) il 
> quale dovrebbe fare poi il forwarding ad un ip di un mio client (es. 
> 192.168.0.5).  porta da usare: 5500
> 
> SITUAZIONE:
> Ho fatto girare la porta al router 5500 all'ip del server 192.168.0.1 (E 
> tutto funziona egregiamente):
> test:
> sul server lancio:  netstat -l -p 5500
> 
> all'esterno lancio:
> telnet brisa.homelinux.net 5500
> 
> la connessione avviene senza problemi.
> 
> ora vorrei che il server rimbalzi la connessione ad un mio client (Con 
> ip 192.168.0.5) come se sul server lanciassi un comando tipo:
> ssh francesco@127.0.0.1 -L 5500:192.168.0.5:5500
> il quale funziona egregiamente direi !
> 
> ma se volessi farlo con iptables?
> Premetto che:
> sul router NON vi sono limitazioni in uscita.
> sul server e sul client iptables è tutto settato per ACCEPT
> 
> bene, ho cercato su internet e dho trovato qualcosa di questo tipo da 
> lanciare sul server:
> iptables -F -t nat   #Pulisco regole di nat
> 
> iptables -t nat -A PREROUTING -p tcp  -d brisa.homelinux.net --dport 
> 5500 -j DNAT --to-destination 192.168.0.5
> 
> iptables -L -v -t nat  #Restituisce:
> Chain PREROUTING (policy ACCEPT 684 packets, 43960 bytes)
>  pkts bytes target     prot opt in     out     source               
> destination
>     0     0 DNAT       tcp  --  any    any     anywhere             
> brisa.homelinux.net tcp dpt:5500 to:192.168.0.5
> 
> Chain POSTROUTING (policy ACCEPT 279 packets, 24488 bytes)
>  pkts bytes target     prot opt in     out     source               
> destination
> 
> Chain OUTPUT (policy ACCEPT 255 packets, 23088 bytes)
>  pkts bytes target     prot opt in     out     source               
> destination
> 
> ora se lancio una telnet dall'esterno:
> telnet brisa.homelinux.net 5500
> Trying 88.149.154.217...
> telnet: Unable to connect to remote host: Connection refused
> 
> esce subito con un connection refused !
> 
> fra i vari esperimenti ho provato questo comando
> iptables -t nat -A PREROUTING -p tcp  -s ! 192.168.0.5 --dport 5500 -j 
> DNAT --to-destination 192.168.0.5
> 
> il risultato della telnet cambia:
> telnet brisa.homelinux.net 5500
> Trying 88.149.154.217...
> 
> la telnet resta bloccata e non va avanti
> 
> 
> qualcuno ha qualche consiglio da darmi ?
> 
> grazie e ciao
> 

ricordati
echo 1 > /proc/sys/net/ipv4/ip_forward

e che oltre a fare il DNAT devi permettere le connessioni nella FORWARD

iptables -I FORWARD -d 192.168.0.5 -p tcp  --dport 5500 -j ACCEPT

Ciao

Maggiori informazioni sulla lista gl-como