bigsnakeye
21.02.2016
view2795
view7
0
Goto Top

Iptables port soll weitergeleitet werden, das klappt aber nicht

FrageLinuxDebian
Bei Ubuntu 1404 lts will ich den Port 32199 nutzen. Frage - wie kann ich dafür sorgen, dass der Port 32199 freigegeben/weitergeleitet wird?

Geöffnet habe ich es so:
iptables -A INPUT -p tcp --dport 32199 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 32199 -j ACCEPT

Ich habe nun folgende Rückmeldung von iptables über dmesg:
iptables denied: IN=venet0 OUT= MAC= SRC=xxx.xx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=13706 DF PROTO=TCP SPT=60374 DPT=25 WINDOW=14600 RES=0x00 SYN URGP=0

Also klappt das offenbar nicht. was mache ich denn falsch?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 296953

Url: https://administrator.de/contentid/296953

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
BigSnakeye
BigSnakeye 21.02.2016 um 18:06:28 Uhr
Goto Top
Hier sind die chains

iptables -t filter -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "  
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "  
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "  
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:poppassd
DROP       udp  --  anywhere             anywhere             udp dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     icmp --  anywhere             anywhere             icmptype 8 code 0
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:32199

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:32199
114757
114757 21.02.2016 aktualisiert um 18:13:58 Uhr
Goto Top
Wenn du Ports an andere Rechner weiterleiten willst machst du das nicht mit einer Regel im INPUT sondern über einen DST-NAT Eintrag in der Prerouting-Tabelle!

Aber das sagst du uns ja wieder nicht face-sad was nun der Fall ist ...

Beispiel um z.B Pakete die an der Firewall auf Port 80 am Interface eth0 einlaufen an einen Rechner im internen Netz an Port 8080 weiterzuleiten
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 123.123.123.123:8080

Außerdem muss man in der Forwarding-Chain ebenfalls den Traffic freischalten, da hier die Default-Policy ebenfalls auf DROP steht

Steht alles hier
http://www.karlrupp.net/de/computer/nat_tutorial

Man muss es nur mal lesen!
BigSnakeye
BigSnakeye 21.02.2016 aktualisiert um 18:21:40 Uhr
Goto Top
Nein, das soll auf dem gleichen Rechner passieren. Da möchte ich auf einen Webdienst zugreifen, allerdings über andere ports. Damit es nicht mit einer evlt. Webseite kollidiert. Es gibt keine untergeordnenten Rechner im Netz.

Demnach müsste das so lauten:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32199 -j DNAT --to-destination 127.0.0.1:32199

???
114757
114757 21.02.2016 aktualisiert um 18:21:53 Uhr
Goto Top
Die passende Regel hast du vorhin schon von mir bekommen:
iptables -I INPUT 1 -p tcp --dport 32199 -j ACCEPT
Das muss laufen ansonsten lauscht dein Dienst nicht auf dem Port, oder du hast ein ganz anderes Problem.
114757
114757 21.02.2016 aktualisiert um 18:27:37 Uhr
Goto Top
Zitat von @BigSnakeye:

Nein, das soll auf dem gleichen Rechner passieren. Da möchte ich auf einen Webdienst zugreifen, allerdings über andere ports. Damit es nicht mit einer evlt. Webseite kollidiert. Es gibt keine untergeordnenten Rechner im Netz.

Demnach müsste das so lauten:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32199 -j DNAT --to-destination 127.0.0.1:32199

???
Nein! Liest du überhaupt meine Kommentare? Das gilt nur wenn du an einen anderen Rechner weiterleitest, hatte ich doch extra deswegen fett gemacht !! Sie mein vorherigen Kommentar.

Bitte liest doch erst mal die einschlägigen Tutorials bevor du an Firewalls herumfrickelst. Danke.
BigSnakeye
BigSnakeye 21.02.2016 aktualisiert um 18:28:54 Uhr
Goto Top
Ok, ich hatte das übersehen. Sorry.

Jetzt sehe ich, dass es auch andere Anfragen gibt. Meine habe ich jetzt gefunden:
iptables denied: IN=venet0 OUT= MAC= SRC=xxx.xx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=13706 DF PROTO=TCP SPT=60374 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0

Der Port 80 wird also unterbunden (ich komme nicht lokal rein, sondern übers internet). Was ich vorhin postete (oben) war wohl ein anderen Zugriffsversuch. Nicht von mir.
114757
114757 21.02.2016 aktualisiert um 18:41:43 Uhr
Goto Top
Dann musst du Port 80 auch für das Interface freischalten das zum Internet zeigt. Das wird zwar hier laut deiner Config freigeschaltet:
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Aber leider hast du keine Verbose-Log deiner Regeln gepostet wo drin steht für welche Interfaces deine Regeln überhaupt gelten (ob für alle oder nur bestimmte). Parameter -v (Verbose)

Du siehst hier gibt es einiges zu beachten. Und wie immer gilt hier bei den Regeln first match wins, dann werden nachfolgende Regeln nicht mehr abgearbeitet.
FrageLinuxDebian
Mehr von BigSnakeyeBigSnakeyeWindows Server 2019 - profil stets defekt?BigSnakeye - 2 KommentareBigSnakeyeTwain Treiber lässt sich nicht installierenBigSnakeye - 3 KommentareBigSnakeyeServer 2019, Event ID 1046, Quelle: DHCPBigSnakeye - 6 KommentareBigSnakeyeAdmin kriegt keine Rechte an übertragenen DatenBigSnakeye - 9 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare