Hallo Leute!
Ich fühle mich sehr dumm, denn ich mache irgendein sehr dummer Fehler und ich finde es nicht...
Also, ich will so machen, dass mein Asterisk (der auf einem OpenWRT-Switch läuft) vom Internet erreichbar wird. Die Port von Asterisk ist die 5060 und das Programm läuft auf dem Gerät mit IP 192.168.200.120. Vom Internet soll das von der Port 6060 erreichbar sein
Nun auf dem Gateway/Firewall (Ubuntu) habe ich diese IPTables-Regeln geschrieben:
/sbin/iptables -A INPUT -i ppp0 -p udp -m multiport --dports 6060 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -p udp --dport 6060 -j DNAT --to-destination 192.168.200.120:5060 /sbin/iptables -t nat -A POSTROUTING -d 192.168.200.120 -j MASQUERADE
Nun, wenn ich mich mit meinem Handy verbinde sehe ich ein Paket mit der Anfrage, aber danach ist das Handy sofort UNREACHABLE, klare Zeichen, dass irgendwas nicht geht... Da ich deutlich mehr Pakete erwarte, würde ich sagen, dass vielleicht was auf dem NAT nicht stimmt, ich finde aber kein Fehler in einem Syntax, das ich für TCP seit Jahre problemlos nutze...
Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Moin moin,
(frag nicht warum ich jetzt um diese unchristliche Uhrzeit antworte, ich sag nur präsenile Bettflucht)
Musst Du bei Deiner INPUT Regel nicht die 5060 nehmen? Denn PREROUTING kommt vor INPUT und in INPUT ist ja der Destination Port schon 5060, aufgrund Deines NATtings, oder?
mfg Maddin
Am 05.06.2015 um 22:49 schrieb Luca Bertoncello:
Hallo Leute!
Ich fühle mich sehr dumm, denn ich mache irgendein sehr dummer Fehler und ich finde es nicht...
Also, ich will so machen, dass mein Asterisk (der auf einem OpenWRT-Switch läuft) vom Internet erreichbar wird. Die Port von Asterisk ist die 5060 und das Programm läuft auf dem Gerät mit IP 192.168.200.120. Vom Internet soll das von der Port 6060 erreichbar sein
Nun auf dem Gateway/Firewall (Ubuntu) habe ich diese IPTables-Regeln geschrieben:
/sbin/iptables -A INPUT -i ppp0 -p udp -m multiport --dports 6060 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -p udp --dport 6060 -j DNAT --to-destination 192.168.200.120:5060 /sbin/iptables -t nat -A POSTROUTING -d 192.168.200.120 -j MASQUERADE
Nun, wenn ich mich mit meinem Handy verbinde sehe ich ein Paket mit der Anfrage, aber danach ist das Handy sofort UNREACHABLE, klare Zeichen, dass irgendwas nicht geht... Da ich deutlich mehr Pakete erwarte, würde ich sagen, dass vielleicht was auf dem NAT nicht stimmt, ich finde aber kein Fehler in einem Syntax, das ich für TCP seit Jahre problemlos nutze...
Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Martin Schuchardt kruemeltee@gmx.de schrieb:
Moin!
(frag nicht warum ich jetzt um diese unchristliche Uhrzeit antworte, ich sag nur präsenile Bettflucht)
OK, ich frage nicht... :)
Musst Du bei Deiner INPUT Regel nicht die 5060 nehmen? Denn PREROUTING kommt vor INPUT und in INPUT ist ja der Destination Port schon 5060, aufgrund Deines NATtings, oder?
Ich verstehe nicht ganz was du meinst... Asterisk lauscht ja auf die 5060, ich möchte aber von Außen die 6060 nutzen, damit ich einige Crackversuche vermeiden kann.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de wrote:
Hallo Leute!
Ich fühle mich sehr dumm, denn ich mache irgendein sehr dummer Fehler und ich finde es nicht...
Also, ich will so machen, dass mein Asterisk (der auf einem OpenWRT-Switch läuft) vom Internet erreichbar wird. Die Port von Asterisk ist die 5060 und das Programm läuft auf dem Gerät mit IP 192.168.200.120. Vom Internet soll das von der Port 6060 erreichbar sein
Nun auf dem Gateway/Firewall (Ubuntu) habe ich diese IPTables-Regeln geschrieben:
/sbin/iptables -A INPUT -i ppp0 -p udp -m multiport --dports 6060 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -p udp --dport 6060 -j DNAT --to-destination 192.168.200.120:5060 /sbin/iptables -t nat -A POSTROUTING -d 192.168.200.120 -j MASQUERADE
Wozu die erste und dritte Regel? Durch die zweite Regel kommt das Paket nicht nach INPUT (erste Regel), die dritte Regel setzt nun die Source-Adresse auf die des Routers, warum?
Andreas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Hoi Luca,
Deine Frage und Dein Engagement in Ehren ... aber setz Dich bitte einfach mal mit dem Zeug was Du da machst auseinander ...
folgendes Bild könnte Dir helfen: http://www.linuxnetmag.com/share/issue9/iptables3.jpg
Du bedienst in Deiner zweiten Regel als erstes die Prerouting-Chain ... das bedeutet Du änderst die Vorraussetzungen für Deine "INPUT Chain ... Du schreibst VORHER das Paket um, und hast demzurfolge einen anderen Zielport ... deswegen sagte ich: nimm als INPUT-Regel den aus Deinem "Prerouting" resultierenden Port ...
Gruß Maddin
Am 06.06.2015 um 09:42 schrieb Andreas Kretschmer:
Luca Bertoncello lucabert@lucabert.de wrote:
Hallo Leute!
Ich fühle mich sehr dumm, denn ich mache irgendein sehr dummer Fehler und ich finde es nicht...
Also, ich will so machen, dass mein Asterisk (der auf einem OpenWRT-Switch läuft) vom Internet erreichbar wird. Die Port von Asterisk ist die 5060 und das Programm läuft auf dem Gerät mit IP 192.168.200.120. Vom Internet soll das von der Port 6060 erreichbar sein
Nun auf dem Gateway/Firewall (Ubuntu) habe ich diese IPTables-Regeln geschrieben:
/sbin/iptables -A INPUT -i ppp0 -p udp -m multiport --dports 6060 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -p udp --dport 6060 -j DNAT --to-destination 192.168.200.120:5060 /sbin/iptables -t nat -A POSTROUTING -d 192.168.200.120 -j MASQUERADE
Wozu die erste und dritte Regel? Durch die zweite Regel kommt das Paket nicht nach INPUT (erste Regel), die dritte Regel setzt nun die Source-Adresse auf die des Routers, warum?
Andreas
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Martin Schuchardt kruemeltee@gmx.de schrieb:
Deine Frage und Dein Engagement in Ehren ... aber setz Dich bitte einfach mal mit dem Zeug was Du da machst auseinander ...
folgendes Bild könnte Dir helfen: http://www.linuxnetmag.com/share/issue9/iptables3.jpg
Du bedienst in Deiner zweiten Regel als erstes die Prerouting-Chain ... das bedeutet Du änderst die Vorraussetzungen für Deine "INPUT Chain ... Du schreibst VORHER das Paket um, und hast demzurfolge einen anderen Zielport ... deswegen sagte ich: nimm als INPUT-Regel den aus Deinem "Prerouting" resultierenden Port ...
OK, ich werde heute noch versuchen, aber ich glaube, das Problem ist nicht (nur) bei dem NAT, sondern auch bei dem Handy... Mit einem anderen Programm geht es... Komisch...
Grüße Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Luca Bertoncello -
Martin Schuchardt