VmServer + S4Y

[maiki]

Ich habe mir die Tage einen neuen Server bestellt (nein ich bin zufriedener Kunde seid Jahren bei S4Y).

Jetzt habe ich mir gedacht auf dem neuen endlich mal etwas mit dem VmServer herumzuexperimentieren was kein großes Problem ist da die Installation doch sehr einfach ist.

Also VMServer besorgt und installiert, kein Problem
Virtuelle Maschine erstellt und XP Pro installiert, kein Problem per NAT

Was ich allerdings ausprobieren möchte ist auf diese XP VM ein Spiel Installieren (Mechwarrior ist leider ein reines Win Spiel wofür es keinen Linux Server gibt (kein Wunder ist ein M$ Spiel)) klappt auch wunderbar.

Mit der XP VM kann ich ins Inet ohne Probleme selbst das Spiel findet andere Server allerdings kann ich mich nicht auf dem Server, vom Inet aus, einloggen.

Nach dem Studium des Forums habe ich mittlerweile auch herausgefunden das die XPVM als Briged laufen muss um von außen Zugriff zu erhalten dies aber von S4Y nicht erlaubt wird.

In einem der Beiträge habe ich diesen Absatz gelesen:

Falls Sie auf die Virtualisierung Ihrer Systeme setzen möchten, so
besteht die Möglichkeit die für eine Virtualisierung vorgesehene
IP-Adresse auf dem Server zu konfigurieren und alle dort ankommenden
Anfragen an eine Private IP (die der virtuellen Maschine zugeordnet ist)
weiterzuleiten.

Heißt das ich muss mir eine Weitere IP von S4Y besorgen?
Wenn ja wie richte ich das ein?

 

[wstuermer]

Hi,

Du teilst Deiner VM eine interne IP (bspw.: 10.0.56.12) zu.
Eine Zusatz-IP brauchst Du in jedem Fall; kannst Du über Dein Powerpanel bestellen.
Die Zusatz-IP richtest Du in der /etc/network/interfaces ein. Danach leitest Du per iptables alle eingehenden Anfragen auf der Zusatz-IP auf die intern zugewiesene IP weiter.

-W

 

[maiki]

meinst du so:
iptables -A FORWARD -m state --state NEW -i eth0 -p upd --dport 1723 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -d eth0 --dport 3389 -j DNAT --to 192.168.2.251:1723

als Beispiel?

oder so?

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -o vmnet0 -j MASQUERADE

 

[maiki]

Ich habs nun doch getan und eine zusätzliche IP beantragt diese dann auch über Plesk dem Eth0:1 zugewiesen

dann in der Plesk Firewall eine neue regel erstellt

#!/bin/sh
#
# Automatically generated by Plesk netconf
#

set -e

echo 0 > /proc/sys/net/ipv4/ip_forward
([ -f /var/lock/subsys/ipchains ] && /etc/init.d/ipchains stop) >/dev/null 2>&1 || true
(rmmod ipchains) >/dev/null 2>&1 || true
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -t mangle -Z
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t nat -Z
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 106 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 5432 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 9008 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 9080 -j DROP

/sbin/iptables -A INPUT -p udp --dport 137 -j DROP
/sbin/iptables -A INPUT -p udp --dport 138 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 139 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 445 -j DROP

/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j ACCEPT

/sbin/iptables -A INPUT -j ACCEPT

/sbin/iptables -A OUTPUT -j ACCEPT

/sbin/iptables -A FORWARD -p udp -s XXXXXXXXXX -d 192.168.154.1 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s XXXXXXXXXXX -d 192.168.154.1 -j ACCEPT

/sbin/iptables -A FORWARD -j DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /opt/psa/var/modules/firewall/ip_forward.active
chmod 644 /opt/psa/var/modules/firewall/ip_forward.active
#
# End of script
#

# /etc/network/interfaces - network interfaces configuration

# loopback interface

auto lo eth0
iface lo inet loopback

# ethernet interface

iface eth0 inet static
address XXXXXXXXX
network 85.25.XXX.XXX
netmask 255.255.255.0
broadcast 85.25.XXX.XXX
gateway 85.25.XXXX.XXX

# virtual interfaces



iface eth0:1 inet static
address 85.25.XXXX.XXX
netmask 255.255.255.192
auto eth0:1

Das sind die entsprechenden Zeilen in der iptables.
Trotzdem ich habe Vmware mit NAT/Briged/Host only Probiert ich komme nicht raus oder rein
Als Gateway IP habe ich in VMware die neue IP eingetragen.

 

[maiki]

hmm irgend wie komme ich nicht weiter

Da man in Plesk nur Forwarding eintragen kann als neue regel, habe ich versucht die
/opt/psa/var/modules/firewall/firewall-active.sh manuell zu ändern mit folgenden Zeilen:

/sbin/iptables -A PREROUTING -d XXXXXXXXXXX -j DNAT --to-destination 192.168.154.1
/sbin/iptables -A POSTROUTING -s 192.168.154.1 -j SNAT --to-source XXXXXXXX

Beim manuellen starten der Firewall über ssh mit /etc/init.d/psa-firewall restart erhalte ich nur folgende Fehlermeldung:

psa-firewall: firewall successfully disabled
iptables: No chain/target/match by that name
psa-firewall: failed to apply firewall configuration

Kommentiere ich die zwei regeln wieder aus und startet die Firewall und ich erhalte keine Fehlermeldung.

Hat vielleicht jemand eine Idee was da schief geht?

 

[maiki]

Na ja erfolglos Support Ticket erstellt.

Der s4y Support hat mir geraten die Firewall von Plesk mal zu deaktivieren und die Regeln manuell einzugeben.

# /etc/init.d/psa-firewall stop
#iptables -A PREROUTING -d xx.xxx.xxx.xxx -j DNAT --to-destination
192.168.154.1
iptables: No chain/target/match by that name

Wie ihr sieht ist auch hier die Fehlermeldung : iptables: No chain/target/match by that name

Was zum Geier ist das?
Im Netzt finden sich nur hinweise auf den Kernel, als ob module nicht mit einkompiliert wurden.
Der Server ist eigentlich eine frische S4Y Installation mit Debian64.

 

[maiki]

hier noch die Iptables -L

iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:8443
ACCEPT tcp -- anywhere anywhere tcp dpt:8880
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssmtp
ACCEPT tcp -- anywhere anywhere tcp dptop3
ACCEPT tcp -- anywhere anywhere tcp dptop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dptoppassd
ACCEPT tcp -- anywhere anywhere tcp dpt:mysql
DROP tcp -- anywhere anywhere tcp dptostgresql
DROP tcp -- anywhere anywhere tcp dpt:9008
DROP tcp -- anywhere anywhere tcp dpt:9080
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds
ACCEPT udp -- anywhere anywhere udp dptpenvpn
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT icmp -- anywhere anywhere icmp type 8 code 0
ACCEPT 0 -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere
ACCEPT udp -- static-ip-xxxxxxxxxx.inaddr.intergenia.de 192.168.154.1
ACCEPT tcp -- static-ip-xxxxxxxxxx.inaddr.intergenia.de 192.168.154.1
DROP 0 -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
DROP 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere