Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Masquerading mit IPtables

Gast Herr-der-Mails
Gast Herr-der-Mails
in Security

Empfohlene Antworten

Veröffentlicht

Hallo zusammen,

normalerweise verwendet man Masquerading (SNAT,DNAT) ja um die internen IP Adressen mit der des Routers zu ersetzen um nach außen nur eine einzige IP zu haben.

In meinem Szenario muß es aber genau anders herum aussehen.

Also alles was durch die Firewall durchgelassen wird, soll mit Masquerading auf die IP der Firewall geändert werden und dann ins interne Netz.

Nur wie geht das?

Und die Antworten vom internen Netz müssen ja beim passieren der Firewall ebenfalls wieder umgesetzt werden. Also der dport von Firewall auf den Rechner außerhalb.

Hat mich noch jemand verstanden?? ;-)

Gruß@community

Herr-der-Mails

hm ich würde sagen das geht doch genau so ? du musst doch nur der firewall sagen ( unterschiedlich je firewall ) das alles was reingeht mit der adresse weitergehn soll und auch so zurück geroutete werden muss... hmm

hab probiert das analog zum normalen Masquerading zu machen, iptables meckert jetzt aber beim Prerouting rum und da kam ich auf die Idee ob das Ganze vielleicht gar nicht machbar ist.

Dachte also ehr an einen Fehler auf OSI Schicht 8, dem Menschen ;-)

Du meinst also, das das irgendwie technisch auf jeden Fall gehen müsste?

na was hast den für ne firewall ? eine masquerading unterstützt dann kannst das alles bei der firewall eintragen...

Beachte bitte die Boardregeln. Dort v.a. diesen Punkt:

12. (...) Inhaltslose Postings zu fachlichen Fragestellungen sind zu vermeiden.

Desweiteren steht die verwendete Firewall iptables deutlich im Threadtitel. Wenn Du die verwendete Firewall nicht kennst, ist es besser nicht zu posten oder zumindest nachzufragen was iptables bedeutet.

editiert wegen OT, hades

Wir kommen so nicht weiter......

mit analog meinte ich parallel ..... also parallel zum normalen Masquerading.....

verwende Iptables.

boar also du willst praktisch 2 mal die adresse umsetzen ^^ ui nun das haben wir hier bei uns auch schonmal gemacht aber das wurd schwer wegen antwortroute usw. hm aber technisch möglich dürfte es sein solange die firewall nicht gerade sehr alt ist...

oder ich verstehe hier was total falsch :D

Hi,

also erstes solltest du mal hier ein bischen lesen. www.netfilter.org

$man iptables

ist auch ganz Informativ. Aber das hast du beides bestimmt schon gelesen.

Masquerading ist SNAT nicht DNAT! und beides erst recht nicht. ;-)

Ein paar mehr Infos was du eingentlich vorhast wäre ganz nett.

Ich versuche es aber trotzdem mal.

Was du machen willst ist Portforwarding. Von außen kommt eine Anfrage

und die soll ins Lan weitergeleitet werden. Das heißt du willst DNAT machen.

Du willst das Ziel der Daten ändern. Warum du aber auch die Quelladresse

der Daten änder willst kann ich, aufgrund feldender Infos nicht nachvollziehen.

Wenn das netfilter Howto richtig gelesen hättest (hast du doch bevor du hier

gepostet hast, oder?) dann wüsstest du warum Masqurading in der Prerouting

Chain nicht wirklich gut funktioniert. ;-)

Have a nice DaY

[bRAIN2fast]

hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen".

warum er das will weis ich auch net nach innen aber wen interresierts ^^

nach außen is es ja verständlich...

Originally posted by pAnBytE

[...]

oder ich verstehe hier was total falsch :D

ja!

Er benutzt iptables wie es sehr gut leserlich im Subject steht.

Also dir empfehle ich auch mal

www.netfilter.org && man iptables

wenn das nicht hilft dann /dev/null (siehe sig)

Have a nice DaY

[bRAIN2fast]

Originally posted by pAnBytE

hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen".

warum er das will weis ich auch net nach innen aber wen interresierts ^^

nach außen is es ja verständlich...

Ist ganz schön anstrengend dir zu folgen.

wieso ist es nicht verstänlich wenn jemand anfragen von _aussen_ nach innen

weiterleigen möchte? Was machst du wenn du einen httpd von _aussen_

anstprechen möchtest der sich z.B. in einer DMZ befindet die einen privaten

IP Adressen bereich hat?

Das was noch nicht ganz geklärt ist, ist warum er den die _äussere_

adresse masquieren möchte. Was technisch gesehen keine Probleme machen

würde. Nur warum?

Bitte mehr Infos. Glasskugel grade kaputt. ;-)

Have a nice DaY

[bRAIN2fast]

Okay, ich versuche nochmal mein Szenario genauer zu beschreiben:

------------------------

| 192.168.0.2-10 |

| |

| LAN |

------------------------

|

|

------------

|SWITCH |

------------

|

|

------------------------ eth0 192.168.0.1

| |

| |

| File,HTTP Server |

------------------------ eth1 192.168.10.1

|

|

|

----------------------- eth0 192.168.10.2

| |

| |

| Firewall PC |

| |

----------------------- eth1 192.168.10.10

|

|

|

|

-----------------------

| Feindliches LAN |

| bzw. |

| Internet |

-----------------------

Es geht mir jetzt nur um den Firewall PC.

Die IP von seinem Interface eth1 gebe ich nach außen bekannt. Das heißt wenn einer von außen auf den Webserver zugreifen will, muss er im Browser trotzdem die IP der Firewall angeben. Also muss ich ja alle Port80 Anfragen auf eth1 maskieren und über eth0 zum Server geben, oder nicht?

Die PCs im LAN müssen gar nicht nach draußen können, die brauchen nur Zugriff auf die File und HTTP Dienste des Servers. Wichtig ist nur, daß eben Rechner von draußen auch auf den HTTP Dienst des Servers zugreifen können.

Wie realisier ich das nun?

Die ganze Doku hilft mir nicht weiter, weil ich ja gar nicht gezielt suchen kann.

Lieben Gruß

Herr-der-Mails

Hi,

wieso musst du die Anfragen die von aussen kommen maskieren?

Also nochmal: Masquerading ist SNAT das heißt die

Quelladresse wird geändert. Warum möchtest du diese ändern?

Schließlich muss der httpd dem Anfragenden doch antworten können.

Alles was du ändern mußt ist die Zieladresse. Und zwar (bezogen auf dein

Beispiel) von 192.168.10.10 zu 192.168.10.1.

Wie du das realisiern kannst?

Wie ich in meinem ersten Posting geschrieben habe möchest du Porforwarding

machen. Das wäre auch ein Begriff mit dem du _gezielt_ in der Doku suchen

könntest. Abgesehen davon solltest du das NAT Howto erst mal lesen bevor du

sowas machst. Einfach um eine gewisse Grundlage zu schaffen die ja offensichtlich

nicht vorhanden ist. Hier der Link:

http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO.html

Nein, vorlesen werde ich es dir nicht. ;-)

Der Vollständigkeit halber: Natürlich könntest du die Anfrage von aussen auch noch maskieren nur ist das nicht erforderlich. Im Gegenteil du hast dann sogar ein paar

Nachteile. Denn dann scheinen alle Anfrage an den httpd von deinem "Firewall PC"

zu kommen. Bestimme Analysen oder Statistiken wäre damit nicht möglich.

Have a nice DaY

[bRAIN2fast]

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.