iptables -t nat

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

iptables -t nat

Post by /dev/null » 2007-12-05 13:47

Hallo Forum,

ich habe hier gerade einen recht merkwürdigen Fall, der mir doch einiges zu denken gibt.

Folgendes will ich:
Ich betreibe eine Virtuelle Maschine auf einem Linux-Server. Die Virtuele Maschine läuft in einem Privat-Netz. (Also intern) der Host-Server besitzt mehrere Externe ("offizielle") IPs, davon forwarde ich eine IP bzw. bestimmte Ports auf den Virtuellen PC.

So gehe ich vor:
brain:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere <extip> tcp dpt:3389 to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:www to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:https to:172.16.25.21

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT 0 -- 172.16.25.21 !172.16.25.21 to:<extip>

Mein Problem:
Ich scanne die externen IPs des Servers regelmässig mit nmap durch. Dabei ist mir aufgefallen, dass Port 3389 auf ALLEN Externen IPs des Hosts offen ist. Wie kann das sein!? Eigentlich sollte der Port doch nur an <extip> verfügbar sein oder hab ich da jetzt einen Denkfehler drnnen?

Grüße
/dev/null

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: iptables -t nat

Post by EdRoxter » 2007-12-05 13:50

Was sagt denn "netstat -tulpen" auf dem Host- und auf den Gastsystemen?

User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: iptables -t nat

Post by /dev/null » 2007-12-05 14:56

Peinlich, peinlich...

Ich hab irgenwann mal den vmware-natd für port 3389 konfiguriert. Na ja, er war es immer noch und das an der IP 0.0.0.0 :-(

...Kleiner Fehler, große Wirkung. :-)

Tschuldigung...
/dev/null