Am Samstag, dem 06.03.2021 um 07:21 +0100 schrieb Konrad Rosenbaum:
On 06/03/2021 05:49, Daniel Leidert wrote:
Das sind meine Regeln:
[Regeln]
Lass die IP mit -d ... weg. Das ist ein unnötiger Filter. Den Filter auf State würde ich im PREROUTING auch weglassen.
OK. Die beiden Filter machen die Regeln halt spezifischer. Aber selbst wenn ich das weglasse, scheint es nicht zu funktionieren.
Ansonsten sollte das funktionieren - ich hatte mal ähnliche Regeln auf meinem Eigenbaurouter.
Vielleicht habe ich ja einen Denkfehler: Um das lokal zu testen, führe ich auf dem System ein
nc 192.168.1.116 50000
aus. Und da kommt "Ncat: Connection refused.". Mit
traceroute -i enp1s0 -p 50000 192.168.1.116
sehe ich auch keine Weiterleitung im syslog. In iptables:
root:~# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A FORWARD -i enp1s0 -o eno1 -p tcp -m tcp --dport 50000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i enp1s0 -o eno1 -p tcp -m tcp --dport 55000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i enp1s0 -o eno1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eno1 -o enp1s0 -j ACCEPT -A FORWARD -j LOG
root:~# iptables -L -v -n Chain INPUT (policy ACCEPT 655 packets, 49662 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 3 156 ACCEPT tcp -- enp1s0 eno1 0.0.0.0/0 0.0.0.0/0 tcp dpt:50000 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT tcp -- enp1s0 eno1 0.0.0.0/0 0.0.0.0/0 tcp dpt:55000 state NEW,RELATED,ESTABLISHED 0 0 ACCEPT all -- enp1s0 eno1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- eno1 enp1s0 0.0.0.0/0 0.0.0.0/0 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 Chain OUTPUT (policy ACCEPT 218 packets, 27147 bytes) pkts bytes target prot opt in out source destination
root:~# iptables -t nat -S -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A PREROUTING -d 192.168.1.116/32 -p tcp -m tcp --dport 50000 -m state --state NEW,RELATED,ESTABLISHED -j DNAT --to-destination 192.168.0.125:50000 -A PREROUTING -d 192.168.1.116/32 -p tcp -m tcp --dport 55000 -m state --state NEW,RELATED,ESTABLISHED -j DNAT --to-destination 192.168.0.125:55000 -A POSTROUTING -o enp1s0 -j MASQUERADE
root:~# iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 847 packets, 64757 bytes) pkts bytes target prot opt in out source destination 1 52 DNAT tcp -- * * 0.0.0.0/0 192.168.1.116 tcp dpt:50000 state NEW,RELATED,ESTABLISHED to:192.168.0.125:50000 0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.1.116 tcp dpt:55000 state NEW,RELATED,ESTABLISHED to:192.168.0.125:55000 Chain INPUT (policy ACCEPT 158 packets, 21439 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 14 packets, 850 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 11 packets, 652 bytes) pkts bytes target prot opt in out source destination 4 250 MASQUERADE all -- * enp1s0 0.0.0.0/0 0.0.0.0/0
sind auch wirklich nur meine Regeln. Ich bin gerade völlig ratlos. ufw oder ähnliches ist nicht installiert.
Gruß, Daniel