NAT-Regel

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

NAT-Regel

Post by simcen »

Hallo zusammen!

Situation ist folgende:
Mein Server hat 1 physisches Interface und dazu eine statische IP + 3 geroutete IP-Adressen, welche als virtuelles Interface eingerichtet sind.

Ich möchte nun auf dem Server 2 Apache mit unterschiedlichen PHP-Versionen zum laufen bringen. Also hab ich den primären Apache auf Port 80 laufen und den 2. auf Port 81 da Linux nur 1 Service pro Port zuläusst.

Also woltte ich folgende NAT-Regel anwenden:
"Leite alle Pakete mit der Destination-Adresse 212.112.230.48 und dem Destination-Port 80 nach 212.112.230.80:81 um".

Folgende FW-Rule habe ich definiert:

Code: Select all

iptables -t nat -A PREROUTING -p tcp -i eth0 -j DNAT -d 212.112.230.48 --dport 80 --to-destination 212.112.230.48:81
Leider funktioniert diese Rule nicht (erhalte ein Timeout bei einem Test mit telnet) und ich hab kein Plan wo der Fehler steckt...

Kann das bitte kurz jemand überfliegen?
Ich denke, dass alle relevante Angaben gemacht wurden.

Anonymous

Re: NAT-Regel

Post by Anonymous »

kein PREROUTING ohne FORWARD .. :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: NAT-Regel

Post by captaincrunch »

iptables -L
iptables -t nat -L
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: NAT-Regel

Post by simcen »

sr16:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
sr16:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 212-112-230-48.firestorm.chtcp dpt:www to:212.112.230.48:81

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
sr16:~#

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: NAT-Regel

Post by captaincrunch »

cat /proc/sys/net/ipv4/ip_forward
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: NAT-Regel

Post by simcen »

sr16:~# cat /proc/sys/net/ipv4/ip_forward
0
Hm, so langsam hab ich das Gefühl, dass CC mir auf die Sprünge helfen will - aber ich komme nicht drauf ;)

Anonymous

Re: NAT-Regel

Post by Anonymous »

epox wrote:
sr16:~# cat /proc/sys/net/ipv4/ip_forward
0
Hm, so langsam hab ich das Gefühl, dass CC mir auf die Sprünge helfen will - aber ich komme nicht drauf ;)
erm hallo? lies doch mal was ich schreibe ...
kein PREROUTING ohne FORWARD ..

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: NAT-Regel

Post by simcen »

Hm - ich verstehe beim besten willen nicht was ich nun wohin forwarden muss.
Ich gehe wohl besser schlafen... und denke morgen wieder!

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: NAT-Regel

Post by captaincrunch »

if [ `cat /proc/sys/net/ipv4/ip_forward` -ne "1" ]; then echo "So kann's nicht gehen."; fi
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

simcen
Posts: 333
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: NAT-Regel

Post by simcen »

Danke dir, CaptainCrunch.
Jetzt funktionierts!

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: NAT-Regel

Post by captaincrunch »

erm hallo? lies doch mal was ich schreibe
Drückt man sich klar aus, verstehen die Menschen einen auf einmal... ;)

Um jetzt auch mal richtig schön Erbsen zu zählen (hey, endlich darf ich auch mal): die IPTable Forward-Table (von der man alleine anhand der Großbuchstaben oben in deinem Beitrag hätte schließen können) hat herzlich wenig mit dem hier benötigten IP-forwarding zu tun.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: NAT-Regel

Post by dodolin »

die IPTable Forward-Table (von der man alleine anhand der Großbuchstaben oben in deinem Beitrag hätte schließen können) hat herzlich wenig mit dem hier benötigten IP-forwarding zu tun.
Sie hätte damit zu tun haben können, aber wie man ja später erst gesehen hat, steht FORWARD auf Policy ACCEPT und hat sonst weiters keine Regeln definiert. Daran konnte es also nicht gelegen haben.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: NAT-Regel

Post by captaincrunch »

aber wie man ja später erst gesehen hat
Daher hatte ich ja direkt noch mal nachgehakt. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc