| View previous topic :: View next topic |
| Author |
Message |
BlackEye
l33t
Joined: 04 Dec 2002
Posts: 756
Location: Germany
|
 Posted: Thu May 11, 2006 7:59 am Post subject: [SOLVED]Squid oder iptables? Möchte nur ip1:port1->ip2:p |
 |
|
Hallo!
Ich bin kein großer squid oder iptables Kenner. Ich sitze hier an meiner Arbeitsstelle und wir haben hier ein temporäres, nicht so einfach zu erklärendes (was den Ursprung betrifft), Problem. Und zwar:
Ein Mitarbeiter geht (programmtechnisch bedingt) mit dem Firefox auf eine url: http://ip1:port1
Diese muss nun umgeleitet werden auf http://ip2:port2 (also andere IP und anderer Port).
ip1 ist eine externe IP und geht über den router. ip2 hingegen wäre die IP eines lokalen Servers. Aus dem Router läuft eine iptables-Firewall, die ich schon versucht habe mit folgendem Befehl dazu zu überreden, den Traffic auf ip2:port2 umzuleiten
| Code: | | iptables -t nat -I PREROUTING -p tcp -d ip1 --dport port1 -j REDIRECT --to ip2:port2 |
leider ohne erfolg. Im Browser eingetippt http://ip1:port1 bringt leider immernoch denselben Fehler. Direkt http://ip2:port2 eingetippt funktioniert.
Squid ist ebenfalls auf dem Server installiert (aber nicht mehr eingeschaltet). Ich könnte also auch dort irgendwelche Regeln definieren und bei dem Mitarbeiter den Squid als Proxy eintragen. Nur da hab ich leider NULL Ahnung.
Wie bekomme ich das nun hin? Über die hots geht das leider nicht zu regeln, da der zielport auch ein anderer sein muss und außerdem gehen dort imho keine ip-adressen umzuleiten.
Gruß
Last edited by BlackEye on Thu May 11, 2006 9:53 am; edited 1 time in total |
|
| Back to top |
|
 |
bbgermany
Veteran
Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany
|
| Posted: Thu May 11, 2006 8:09 am Post subject: |
|
|
nach der hilfe im kernel glaube ich, dass das REDIRECT target nicht die richtige option ist.
| kernel-source-hilfe wrote: |
│ CONFIG_IP_NF_TARGET_REDIRECT:
│
│ REDIRECT is a special case of NAT: all incoming connections are
│ mapped onto the incoming interface's address, causing the packets to
│ come to the local machine instead of passing through. This is
│ useful for transparent proxies.
|
ich würde das folgendermaßen versuchen:
| Code: |
iptables -t nat -A PREROUTING -d IP1 -p tcp --dport port1 -j DNAT --to ip2:port2
iptables -A FORWARD -d IP2 -p tcp --dport port2 -j ACCEPT
|
wenn du das noch für udp brauchst, einfach tcp mit udp austauschen und zusätzlich hinzufügen.
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
| Back to top |
|
|
BlackEye
l33t
Joined: 04 Dec 2002
Posts: 756
Location: Germany
|
| Posted: Thu May 11, 2006 8:33 am Post subject: |
|
|
Hallo!
Hab das folgende eingetippt (diesmal mit realen IPS - sind eh nur private):
| Code: | # iptables -t nat -A PREROUTING -d 10.201.2.18 -p tcp --dport 8004 -j DNAT --to 192.168.0.2:8080
# iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 8080 -j ACCEPT |
doch leider funktioniert das auch nicht.. wenn ich mir den traffic mit tcpdump mal auf meinem router anschaue, sehe ich dies:
| Code: | tcpdump \(host 10.201.2.18 or host 192.168.0.2\) and \(port 8004 or port 8080\)
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
10:26:34.350950 IP 192.168.0.100.47332 > 10.201.2.18.8004: S 190234071:190234071(0) win 5840 <mss 1460,sackOK,timestamp 4715470[|tcp] >
10:26:34.351025 IP 10.201.2.18.8004 > 192.168.0.100.47332: R 0:0(0) ack 190234072 win 0
2 packets captured
2 packets received by filter
0 packets dropped by kernel |
das wars.. sehe da keine Umleitung und nichts.. Browser meldet auch leider immernoch, das diese Seite nicht verfügbar ist.. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Thu May 11, 2006 8:53 am Post subject: |
|
|
Mußt du sowohl IP wie auch Port 'verbiegen'?
Ansonsten hätte ich eine Hostroute vorgeschlagen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
dakjo
Veteran
Joined: 31 Jan 2004
Posts: 1544
|
| Posted: Thu May 11, 2006 8:56 am Post subject: |
|
|
| Quote: | * net-misc/rinetd
Latest version available: 0.62
Latest version installed: [ Not Installed ]
Size of downloaded files: 112 kB
Homepage: http://www.boutell.com/rinetd/
Description: redirects TCP connections from one IP address and port to another
License: GPL-2
|
Hatte ich bei mehreren Kunden früher im Einsatz. |
|
| Back to top |
|
|
BlackEye
l33t
Joined: 04 Dec 2002
Posts: 756
Location: Germany
|
| Posted: Thu May 11, 2006 9:05 am Post subject: |
|
|
| Think4UrS11 wrote: | Mußt du sowohl IP wie auch Port 'verbiegen'?
Ansonsten hätte ich eine Hostroute vorgeschlagen. |
da sich ip1 und port1 ändern können, ja. Ich kann natürlich auch den port2 immer so ändern, dass er dem port1 entspricht. Das wäre zumidnest mal das geringere Übel. Wie sieht denn Deine Lösung aus, die Du vorschlagen würdest, wenn ich nur den host umbiegen müsste?
| dakjo wrote: | | Quote: | * net-misc/rinetd
Latest version available: 0.62
Latest version installed: [ Not Installed ]
Size of downloaded files: 112 kB
Homepage: http://www.boutell.com/rinetd/
Description: redirects TCP connections from one IP address and port to another
License: GPL-2
|
Hatte ich bei mehreren Kunden früher im Einsatz. |
schau ich mir mal eben an. Danke schon mal für den Tipp. Aber wie funktioniert das Programm denn? Läuft das dann auf dem router und arbeitet wie iptables nur das es für diesen speziellen fall ausgelegt ist? Mal gucken..
Danke schon mal für eure Hilfe! |
|
| Back to top |
|
|
bbgermany
Veteran
Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany
|
| Posted: Thu May 11, 2006 9:30 am Post subject: |
|
|
also ich hab das nochmal versucht, mit der nat regel (ohne forward, die ist nur nötig, wenn forward nicht gestattet ist). und das hat sofort bei mir auf anhieb funktioniert 
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
| Back to top |
|
|
BlackEye
l33t
Joined: 04 Dec 2002
Posts: 756
Location: Germany
|
| Posted: Thu May 11, 2006 9:52 am Post subject: |
|
|
hm ja ... ich fürchte, ich hab da bei mir auch was vergurkt. Es ging dann auch mit nem virtuellen device nicht mehr. Irgendwie war da eine Regel drin, die die Pakete zwar irgendwie behandelt hat, aber wohl nicht richtig und deswegen ging dann dein Regel-Vorschlag auch nicht mehr. Ich musste eben den Router neu starten, damit die Filterregeln mal richtig gelöscht wurden (-F tats nicht mehr)
Nun geht es auch bei mir
Naja, danke für eure Hilfen!
Gruß,
Martin |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
