Mit IPTables allen Traffic ausser SSH Forwarden

[alexander newald]

Hi,

gibt es eine Möglichkeit mit IPTables den gesamten Traffic für eine IP auf eine andere umzuleiten (Ausser SSH Zugriff). Ich habe leider einen Server zerbastelt (hardwaremässig) und suche nun die Möglichkeit alles temporär auf einen Backupserver umzuleiten.

[dodolin]

Mit mport bzw. multiport würde es etwas umständlich, denn man kann nur max. 15 Ports pro Befehl angeben. Trick: Zuerst alle Pakete auf dem SSH-Port akzeptieren, dann den ganzen Rest nur nach Destination IP ohne jegliche Port-Einschränkung umleiten.

[alexander newald]

Und das funktioniert transparent (also für alle Dienste?)

[dodolin]

Naja, deine Umleitung ist technisch gesehen ein DNAT, d.h. es funktioniert transparent eben für alle Dienste (besser gesagt, Protokolle), die NAT-kompatibel sind. Das dürften eigentlich alle wichtigen Dienste sein, es gibt nur wenige Ausnahmen.

[alexander newald]

Hm, irgendwie bekomme ich das nicht hin. 123.123.123.123 soll mal der Rechner sein, dessen Traffic weitergeleitet werden soll, 12.12.12.12 das Ziel.

Ich hätte jetzt

iptables -t nat -I PREROUTING -d 123.123.123.123 -s 0/0 -j DNAT --to 12.12.12.12

genommen, aber das geht irgendwie nicht.

[dodolin]

"Das geht irgendwie nicht" ist nicht gerade aussagekräftig. Kannst du das mal präzisieren?

[alexander newald]

Der Traffic kommt beim Ziel nicht an.

[dopefish]

müsste es nicht --to-destination heissen anstatt --to ? (zumindest mein iptables hat kein --to befehl im manpage)