[Berlin-wireless] Port forward to LAN-port

Fabian Schonack freifunk
Fr Okt 31 05:57:31 CET 2008 

Musste ich natuerlich gleich mal ausprobieren und da ist dann auch wieder 
eingefallen warum ich angefangen habe selber die zu begrubbern 
(versuchsweise)

ich gebe einfach mal meine aufgekommenen Fragen wieder. soll als hilfe dienen 
wie ein aussenstehender das sieht. Der schreiber der sourcen kann das vmtl 
garnicht verstehen "ist doch alles klar" 

1.bedenken bei der Neuerung
das ingress interface gilt gleich fuer alle IPs?
sinnvoll waere es ja neben jede neu angelegt target IP das interface 
auszuwaheln. so dass man zB den ftp server von Wan als auch von FF erreichen 
kann. Anderes Szenario ist das der Home-PC nur ueber WAN erreichbar sein soll 
der FTP nur vom FF(oder FF und WAN).

2. die ports werden 1-1 durchgereicht? also wenn ich am FFrouter auf port 1234 
aufschlage geht das an die target addresse:1234?
wie macht man das dann wenn man 3 webserver laufen hat? 3 verschiedene IP mit 
port 80 mag der bestimmt nicht.
oder wird die targetip:targetport angegeben in dem Feld? (dann waere eine 
ausreichende Beschriftung hilfreich)

zur info aller die mitreden moechten und sowieso neugierig sind mal ein 
screenshot im attachement:

Und dann mal noch meine Hochachtung fuer das jonglieren mit dem iptables. Mir 
raucht nach 2 Tagen kraeftig der Kopf deswegen.


> Ich habe letzthin einen Patch von Jose Montieiro erhalten und ins
> Freifunk Repository eingespielt, der es erlaubt im freifunk-portfw GUI
> das ingress Interface auszuwählen. Eine Pfannenfertige Version findest
> du bei openwireless.ch, wenn Sven-Ola das nächste mal einen Release
> macht wird es dann direkt vom Freifunk Repo abrufbar sein.
> http://ipkg.openwireless.ch/ch/packages/
>

> > auch schon probiert die FORWARD und INPUT mit einer * * * DPT:21(ugs)
> > auszuhebeln ohne Erfolg. ein Forward auf was beliebiges im FF netz
> > geht ja alleine mit PREROUTING ganz gut. aber an was lokales komme
> > ich nur damit einfach nicht ran. iptables -t nat -I PREROUTING -p tcp
> > --dport 2217 -j DNAT --to 104.130.2.245:80
>
> Hast du die entsprechenden Ports in der Firewall geöffnet? Es sollte
> etwa so aussehen:
>
> # firewall port öffnen
> iptables -I INPUT -p tcp --dport 2217 -j ACCEPT
> # nat einrichten
> iptables -t nat -I PREROUTING -i vlan1 -p tcp -d externeip --dport 2217
> -j DNAT --to interneip

was macht denn die externip da? Damit ist die ip des WAN ports gemeint, oder?
Sieht aber zumindest aehnlich aus wie meins. habe die Einschraengungen -d 
externip und vlan1 im PREROUTING nicht drin und die INPUT habe ich auch nur 
auf tcp, ACCEPT und --dport zusammengestrichen gehabt.
Dummerweise auch mit diesen weichen regeln kein erfolg.
Ferner frage ich mich ob die INPUT ueberhaupt richtig ist, ist doch eher ein 
FORWARD, oder? Will ja ncihts auf dem FF-router will an einen seiner 
ausgaenge.

gute nacht soweit



>
> Beachte dabei, dass deine externe ip ändern kann. Eventuell müsste man
> da noch irgend ein cron oder trigger einbauen, damit dies automatisch
> abgefangen werden kann.

die warnung fuer die pppoe user denke ich.
haenge an nem DSL/Router kombi dran und die ip sollte sich nciht so oft 
aendern. (auf der routerseite jedenfalls)

>
> LG
> Lorenz
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
-- 
104.198.0.16
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : snapshot4.png
Dateityp    : image/png
Dateigröße  : 47955 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20081031/6cd5c19b/attachment.png>

Mehr Informationen über die Mailingliste Berlin