[Berlin-wireless] Port forward to LAN-port
Fabian Schonack
freifunk
Fr Okt 31 05:57:31 CET 2008
Musste ich natuerlich gleich mal ausprobieren und da ist dann auch wieder
eingefallen warum ich angefangen habe selber die zu begrubbern
(versuchsweise)
ich gebe einfach mal meine aufgekommenen Fragen wieder. soll als hilfe dienen
wie ein aussenstehender das sieht. Der schreiber der sourcen kann das vmtl
garnicht verstehen "ist doch alles klar"
1.bedenken bei der Neuerung
das ingress interface gilt gleich fuer alle IPs?
sinnvoll waere es ja neben jede neu angelegt target IP das interface
auszuwaheln. so dass man zB den ftp server von Wan als auch von FF erreichen
kann. Anderes Szenario ist das der Home-PC nur ueber WAN erreichbar sein soll
der FTP nur vom FF(oder FF und WAN).
2. die ports werden 1-1 durchgereicht? also wenn ich am FFrouter auf port 1234
aufschlage geht das an die target addresse:1234?
wie macht man das dann wenn man 3 webserver laufen hat? 3 verschiedene IP mit
port 80 mag der bestimmt nicht.
oder wird die targetip:targetport angegeben in dem Feld? (dann waere eine
ausreichende Beschriftung hilfreich)
zur info aller die mitreden moechten und sowieso neugierig sind mal ein
screenshot im attachement:
Und dann mal noch meine Hochachtung fuer das jonglieren mit dem iptables. Mir
raucht nach 2 Tagen kraeftig der Kopf deswegen.
> Ich habe letzthin einen Patch von Jose Montieiro erhalten und ins
> Freifunk Repository eingespielt, der es erlaubt im freifunk-portfw GUI
> das ingress Interface auszuwählen. Eine Pfannenfertige Version findest
> du bei openwireless.ch, wenn Sven-Ola das nächste mal einen Release
> macht wird es dann direkt vom Freifunk Repo abrufbar sein.
> http://ipkg.openwireless.ch/ch/packages/
>
> > auch schon probiert die FORWARD und INPUT mit einer * * * DPT:21(ugs)
> > auszuhebeln ohne Erfolg. ein Forward auf was beliebiges im FF netz
> > geht ja alleine mit PREROUTING ganz gut. aber an was lokales komme
> > ich nur damit einfach nicht ran. iptables -t nat -I PREROUTING -p tcp
> > --dport 2217 -j DNAT --to 104.130.2.245:80
>
> Hast du die entsprechenden Ports in der Firewall geöffnet? Es sollte
> etwa so aussehen:
>
> # firewall port öffnen
> iptables -I INPUT -p tcp --dport 2217 -j ACCEPT
> # nat einrichten
> iptables -t nat -I PREROUTING -i vlan1 -p tcp -d externeip --dport 2217
> -j DNAT --to interneip
was macht denn die externip da? Damit ist die ip des WAN ports gemeint, oder?
Sieht aber zumindest aehnlich aus wie meins. habe die Einschraengungen -d
externip und vlan1 im PREROUTING nicht drin und die INPUT habe ich auch nur
auf tcp, ACCEPT und --dport zusammengestrichen gehabt.
Dummerweise auch mit diesen weichen regeln kein erfolg.
Ferner frage ich mich ob die INPUT ueberhaupt richtig ist, ist doch eher ein
FORWARD, oder? Will ja ncihts auf dem FF-router will an einen seiner
ausgaenge.
gute nacht soweit
>
> Beachte dabei, dass deine externe ip ändern kann. Eventuell müsste man
> da noch irgend ein cron oder trigger einbauen, damit dies automatisch
> abgefangen werden kann.
die warnung fuer die pppoe user denke ich.
haenge an nem DSL/Router kombi dran und die ip sollte sich nciht so oft
aendern. (auf der routerseite jedenfalls)
>
> LG
> Lorenz
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
--
104.198.0.16
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : snapshot4.png
Dateityp : image/png
Dateigröße : 47955 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20081031/6cd5c19b/attachment.png>
Mehr Informationen über die Mailingliste Berlin