Umleiten eines Ports

[hannes]

Ich versuche nun schon seit 2 Stunden eine Port Umleitung zu definieren...
Hier ist das Szenario: Ich habe zwei Rootserver und möchste, dass der Port 110 (Pop3) von Rootserver B auf Rootserver A umgeleitet wird. Wenn ein User also auf Port 110 des Servers B zugreift sollte er auf den Port 110 des Servers A umgeleitet werden.
Rootserver B und A liegen übrigens in verschiedenen Subnetzen...

Hier sind die Befehle mit denen ich iptables auf Server B initialisiert habe:

Code: Select all

iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT

Code: Select all

iptables -t nat -A PREROUTING -p tcp --dport 110 -i eth0 -j DNAT --to 217.160.106.xx:110

Ich hoffe, dass sich ein paar iptables Experten meiner Sache annehmen werden ;-)

[quicksilver]

Also ich weiss nicht ob das geht mit den verschiedenen subnetzen... ich denke nicht das das so einfach wird :) Aber ich kann dir gerne die Portweiterleitungsbefehle geben mit den ich Arbeite.. is so ziehmlich das selbe :)

#ip ausfiltern :)
IP=`/sbin/ifconfig ppp0 | grep "inet" | cut -d: -f2 | cut -d" " -f1`

#portfw starten
/usr/sbin/iptables -A PREROUTING -t nat -p udp -d $IP --dport 101 -j DNAT --to 217.160.106.xx

Damit geht das bei mir ohne probs.. aber wie gesagt mit den subnetzen ... :?

[captaincrunch]

Guckst du hier : http://iptables-tutorial.frozentux.net/ ... RECTTARGET

[dodolin]

@CaptainCrunch: Falscher Link.

The REDIRECT target is used to redirect packets and streams to the machine itself.

Es geht aber um 2 verschiedene Maschinen.

Prinzipiell sollten die Regeln schon stimmen, denke ich.

Hast du

echo 1 > /proc/sys/net/ipv4/ip_forward

auch nicht vergessen?

Welche anderen Regeln hast du noch in FORWARD und PREROUTING aktiv? Ansonsten würde ich empfehlen, alle abgewiesenen Pakete erst (mit ratelimit) zu loggen, bevor sie abgewiesen werden. So solltest du sehen, was schiefgeht.

Allerdings verstehe ich nicht, warum man so ein krudes Setup haben möchte. Könnte man das nicht über DNS Aliase regeln?

PS: Verschiebe nach Security.

[oxygen]

Eine pop3 Proxy wäre hier wohl die beste Lösung. Portforwarding wäre irgendwie... evil.