iptables -t nat
Posted: 2007-12-05 13:47
Hallo Forum,
ich habe hier gerade einen recht merkwürdigen Fall, der mir doch einiges zu denken gibt.
Folgendes will ich:
Ich betreibe eine Virtuelle Maschine auf einem Linux-Server. Die Virtuele Maschine läuft in einem Privat-Netz. (Also intern) der Host-Server besitzt mehrere Externe ("offizielle") IPs, davon forwarde ich eine IP bzw. bestimmte Ports auf den Virtuellen PC.
So gehe ich vor:
brain:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere <extip> tcp dpt:3389 to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:www to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:https to:172.16.25.21
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT 0 -- 172.16.25.21 !172.16.25.21 to:<extip>
Mein Problem:
Ich scanne die externen IPs des Servers regelmässig mit nmap durch. Dabei ist mir aufgefallen, dass Port 3389 auf ALLEN Externen IPs des Hosts offen ist. Wie kann das sein!? Eigentlich sollte der Port doch nur an <extip> verfügbar sein oder hab ich da jetzt einen Denkfehler drnnen?
Grüße
/dev/null
ich habe hier gerade einen recht merkwürdigen Fall, der mir doch einiges zu denken gibt.
Folgendes will ich:
Ich betreibe eine Virtuelle Maschine auf einem Linux-Server. Die Virtuele Maschine läuft in einem Privat-Netz. (Also intern) der Host-Server besitzt mehrere Externe ("offizielle") IPs, davon forwarde ich eine IP bzw. bestimmte Ports auf den Virtuellen PC.
So gehe ich vor:
brain:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere <extip> tcp dpt:3389 to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:www to:172.16.25.21
DNAT tcp -- anywhere <extip> tcp dpt:https to:172.16.25.21
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT 0 -- 172.16.25.21 !172.16.25.21 to:<extip>
Mein Problem:
Ich scanne die externen IPs des Servers regelmässig mit nmap durch. Dabei ist mir aufgefallen, dass Port 3389 auf ALLEN Externen IPs des Hosts offen ist. Wie kann das sein!? Eigentlich sollte der Port doch nur an <extip> verfügbar sein oder hab ich da jetzt einen Denkfehler drnnen?
Grüße
/dev/null