Iptables forwarding

[monumentum]

Hallo,

Ich habe auf einem entfernt laufenden Server einen IRC auf einem utopischen Port. Den möchte ich (erstmal hier im Netzwerk) so routen, dass er hinterher als 6667 erreichbar ist. Quasi nutzen alle dann diesen Forwardingserver als Proxy. Wie sieht das sicherheitstechnisch aus? Sämtlich Pakete kommen ja durch den Forwardingserver.

Zweitens wäre interessant, wie ich das zurückroute. Derzeit ist das Masquerade ohne Portbeschränkung. Passt das so? Diese Settings sollen mal auf ein Produktivsystem.

Alle Einstellung sind mit -t nat getätigt.

 

[The_Nero]

Hallo,

ein paar mehr Informationen wären nicht schlecht. Bitte gehe nicht davon aus, dass jeder deinen Wissensstand zu dem Thema hat.

Den möchte ich (erstmal hier im Netzwerk) so routen, dass er hinterher als 6667 erreichbar ist

Welches Netzwerk? Hast du ein VPN Eingerichtet? Wie ist dein Konstrukt aufgebaut? Der Punkt ist wirklich unklar.

Zweitens wäre interessant, wie ich das zurückroute. Derzeit ist das Masquerade ohne Portbeschränkung. Passt das so? Diese Settings sollen mal auf ein Produktivsystem.

Ich rate jetzt einfach mal, dass ein iptables -t nat -I POSTROUTING -j MASQUERADE eingerichtet ist. Mehr ist aus diesen Satz nicht erkennbar.

Nenne am besten IP Adressen, deine aktuelle Konfiguration(z.b. iptables-save). Hat der Server eine Public IP Adresse? Läuft der IRC Server ggf. nur auf einer Internen IP?

Just my 2 Cents, aber wenn du dir beim Beschreiben des Problems schon keine Mühe machst, wird auch keiner Antworten.

 

[monumentum]

Hallo,

Da hast du durchaus recht, also noch mal eine Bessere Beschreibung. Ausgang ist einmal der Online-Server 0.0.0.0 und der andere Server 1.1.1.1. Auf Server 0.0.0.0:50000 läuft ein IRCd, der nun ebenfalls über 1.1.1.1:6667 erreichbar sein soll. Folgende Regeln dafür habe ich:

*nat
:PREROUTING ACCEPT [59:4735]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 6667 -j DNAT --to-destination 0.0.0.0:50000
-A POSTROUTING -j MASQUERADE
COMMIT

(mal aus einem iptables-save)

Wie sieht das sicherheitstechnisch aus, wenn alle Pakete durch den Server 1.1.1.1 geschleift werden? Alle User auf dem IRC nutzen ja dann auch 1.1.1.1 als Proxy?

Und um die Pakete zurückzurouten, wird ja Masquerade betrieben. Es geht um eine Konfiguration für Server in Netz, ist das dann so in Ordnung?

Mir fehlt halt entsprechende Menge Erfahrung mit iptables in dieser Hinsicht. Blocken, freigeben und so weiter ist nicht das Problem.

Viele Grüße,
monumentum

 

[monumentum]

Kann da keiner mal drüber schauen?

 

[Deleted member 11691]

"-A POSTROUTING -j MASQUERADE" brauchst du in dem Fall nicht. Ein "net.ipv4.ip_forward = 1" in /etc/sysctl.conf reicht schon. Und ja, sie benutzen dann als "Proxy" (oder eher als Packet-Source-Server) den 1.1.1.1

 

[monumentum]

Der sysctl war sowieso so konfiguriert. Aber ohne Masquerading bekomme ich garnicht erst irgendeine Verbindung.