bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] wie Port 8572 freischalten

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] wie Port 8572 freischalten
From: "Miroslaw Wilczak" <wilczakm@xxxxxxxxxxxxxxxx>
Date: Wed, 20 Oct 2010 11:11:09 +0200
Hallo,


in der letzten Nachricht hast Du mit der folgenden Zeile, IP von deinem
Netzwerk Preis gegeben (192.168.0.0/24). Damit kann man schon etwas
anfangen. Obwohl die IP des besagten Rechners noch von Vorteil wäre, wenn er
eine Feste IP hätte. Ist er überhaupt in dem Subnet 192.168.0.0/24
platziert? Also hat er eine von den IPs von 192.168.0.2 bis 192.168.0.254.
"# /bin/bash
/usr/sbin/iptables -t nat -o eth1 -A POSTROUTING -p tcp --dport 8572 -s
192.168.0.0/24 -j MASQUERADE"
Bis Du sicher das eth1 in Ordnung wäre? Und noch --dport?, dann kann er
nicht  Putty oder Outlook benutzen, da die andre Ports frei brauchen.

In der Datei /etc/init.d/ipfilter (Arktur 4.xxx) steht folgendes, was
Masquarding betrifft:
# Nun noch NAT bearbeiten
        if [ "$USE_NAT" = yes ] ; then
            $IPTABLES_BIN -t nat -F          # flush rules
            $IPTABLES_BIN -t nat -X
            $IPTABLES_BIN -t nat -A POSTROUTING -s 192.168.0.0/16 -d
0.0.0.0/0 -o ppp+ -j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 172.16.0.0/12  -d
0.0.0.0/0 -o ppp+ -j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 10.0.0.0/8     -d
0.0.0.0/0 -o ppp+ -j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 192.168.0.0/16 -d
0.0.0.0/0 -o ippp+ -j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 172.16.0.0/12  -d
0.0.0.0/0 -o ippp+ -j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 10.0.0.0/8     -d
0.0.0.0/0 -o ippp+ -j MASQUERADE
#           $IPTABLES_BIN -t nat -A PREROUTING  -p tcp -i $dslif --dport 80
-j DNAT --to 172.16.0.10:80
            modprobe ip_nat_ftp
            modprobe ip_nat_irc
            echo 1 > /proc/sys/net/ipv4/ip_forward
        fi

Die Abfrage mit if am Anfang wird mit sysadm gesteuert, indem man dort im
Firewall Menü  Masquarding aktiviert oder auch nicht. Bei dir ist es nicht
aktiv, sonnst würde hoch wahrscheinlich die Verbindung mit dem Server im
Internet funktionieren. Es kann auf einem Rechner, für den  Masquarding
aktiv ist,  eine Verbindung zum externen Server z.B mit Oultook zu Stande
kommen, um Emails abzufragen oder mit putty (oder winSCPx für tftp
Verbindungen) einen Server zu besuchen.
Unter der URL kann man darüber mehr erfahren:
http://de.wikipedia.org/wiki/Network_Address_Translation

Das Wichtigste ist für Dich dort folgend beschreiben:
"Große Verbreitung fand Source-NAT durch die Knappheit öffentlicher
IPv4-Adressen und die Tendenz, private Subnetze mit dem Internet zu
verbinden. Die einfachste Lösung dieses Problems war oft die durch NAT
mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen
IP-Adresse, wobei die Abbildung auf diese aufgrund der 16 Bit breiten
Portnummern auf etwa 65000 Sitzungen (Port-Address-Translation Einträge)
beschränkt bleibt."

Es müsste also folgend funktionieren:
Wenn es Masquarding für einen Rechner aktiviert würde, wird er vom Internet
aus mit der IP vom Server (Arktur) maskiert, mit der Arktur im Internet
sichtbar ist und zwar so als ob er diese Arktur IP Adresse selbst tragen
würde. Z.B dein Rechner hat die IP 192.168.0.21. Arktur hatte vom Provider
dynamisch die IP 213.84.191.5 bekommen. Dann hat Dein Rechner bei aktivem
für Ihn oder für ganzen Subnet Masquarding auch die Adresse 213.84.191.5
unter der er vom Internet aus zu sehen ist.


Bitte ärgere Dich nicht, wenn ich so viel erzähle ohne eine Lösung zu
präsentieren. Es ist für die meisten von uns, wegen der Komplexität des
Arktur, ein einziger Weg der zu einer brauchbaren Lösung führen mag. Ich
hatte mich damit (Arktur Firewall - iptables) erst vor Monaten beschäftigen
müssen, obwohl ich  ca. 20 Server betreue und deshalb muss ich mich wieder
erinnern oder neu das Wissen beibringen...

Helmut hatte eine Masquarding Lösung in der Version 5.xxx eingebaut, die uns
hier auch helfen kann, da es Gut dokumentiert (beschreiben) ist.

for Iface in ippp+ ppp+ $(cat /var/lock/adsl-dev 2>/dev/null)
  do
        # einzelne Rechner
        $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -s 192.168.0.20 -j
MASQUERADE

        # Gruppe von Rechnern
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -m iprange --src-range
192.168.0.21-192.168.0.39 -j MASQUERADE

        # einzelne Benutzer
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -m owner --uid-owner
$(id -u hhullen) -j MASQUERADE

        # Gruppe von Benutzern
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -m owner --gid-owner
101 -j MASQUERADE
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -m owner --gid-owner
$(id -g hhullen) -j MASQUERADE

        # ganze Netze
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -s 192.168.0.0/16 -j
MASQUERADE
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -s 172.16.0.0/12  -j
MASQUERADE
#       $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -s 10.0.0.0/8     -j
MASQUERADE

#       test "$Logger" && $IPTABLES_BIN -t nat -i $Iface -A PREROUTING  -j
$Logger
# wenn auch Versuche von draussen protokolliert werden sollen

        test "$Logger" && $IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -j
$Logger
  done


Wenn Du einen einzigen Rechner aus dem Internet aus, sichtbar machen
möchtest oder musst, dann nach der Beschreibung von Helmut ist die folgende
Zeile geeignet:

# einzelne Rechner
$IPTABLES_BIN -t nat -o $Iface -A POSTROUTING -s 192.168.0.20 -j MASQUERADE

Die muss aber an V.4.xxx angepasst werden.

......
            modprobe ip_nat_ftp
            modprobe ip_nat_irc
            echo 1 > /proc/sys/net/ipv4/ip_forward
        fi
# Hier nach der if Abfrage, da es für den Rechner (IP) Masquarding immer
aktiv sein sollte (unabhängig von sysadm Firewall Einstellungen), sollen
diese beiden folgenden Zeilen hin (ppp+ für alle möglichen x-DSL
Verbindungen  und ippp+ für alle ISDN Verbindungen):
    $IPTABLES_BIN -t nat -A POSTROUTING -s 192.168.0.20 -d 0.0.0.0/0 -o ppp+
-j MASQUERADE
            $IPTABLES_BIN -t nat -A POSTROUTING -s 192.168.0.20 -d 0.0.0.0/0
-o ippp+ -j MASQUERADE

Viele Grüße
Mirek
PS. Man langweilt sich im Urlaub und noch zu hause und noch erkältet...



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 25.10.2010