IPFilter: rdr auf 127.0.0.1

[factorx]

Hallo,

ich habe eine Frage zur Redirect-Anweisung von IPFilter. Ich benötige eine Regel, die Anfragen an eine IP-Adresse im Internet an Port 80 auf den Webserver des Rechners (Port 8000) auf dem ipf läuft umleitet. Da ich gelesen habe, dass IPFilter "bouncing" - also Umlenken einer Anfrage durch dasselbe Interface, auf dem die Anfrage kam - nicht unterstützt, habe ich folgende NAT-Regel erstellt:

rdr bge0 192.168.1.0/24 port 80 -> 127.0.0.1 port 8000

Mein Netzwerk sieht folgendermaßen aus:

(internet)----(bge0[OS]bge1)----(lokales Netz,192.168.1.0/24)
                    |
                    |
                    (lo0)----(Loopback-Device,127.0.0.1)

Leider funktioniert diese Umleitung aber nicht. Woran kann das liegen?

 

[crotchmaster]

Moin factorx,

vielleicht hilft Dir ja folgender Link http://www.obfuscation.org/ipf/ipf-howto.html#TOC_35 weiter.

Wenn ich Dein Post richtig verstanden habe, dann machst Du den redirect auf dem falschen Interface und auf der falschen Netzadresse.

Gruß c.

 

[factorx]

Ja, den Link habe ich gestern auch noch gefunden. Danke.
Habe meine rdr-Regel mal dahingehend abgeändert:

rdr bge1 0.0.0.0/0 port 80 -> 127.0.0.1 port 8000

bge1 wäre in diesem Falle ja das "incoming interface", 0.0.0.0/0 (= any) die Zieladresse, wenn ich das nun richtig verstanden habe. Die Umleitung klappt allerdings trotzdem nicht. Witzigerweise taucht sie bei "ipnat -l" aber auf:

# ipnat -l
List of active MAP/Redirect filters:
rdr bge1 0.0.0.0/0 port 80 -> 127.0.0.1 port 8000 tcp

List of active sessions:
RDR 127.0.0.1       8000  <- -> aaa.bbb.ccc.ddd  80    [192.168.1.11 49492]

aaa.bbb.ccc.ddd ist dabei die Zieladresse, die ich im Browser auf 192.168.1.11 eingegeben habe, also genau das, was ich erwartet hätte.

Wieso wird die Anfrage trotzdem nicht umgeleitet?

 

[paraglider242]

Kannst du denn auf der Kiste, wo der Webserver laeuft, darauf zugreifen?

telnet 127.0.0.1 8000

Falls das funktioniert, hast du evt. eine Regel in der ipf.conf, welche den Zugriff blockt?

 

[factorx]

Ja, grundsätzlich kann man auf diesen Port zugreifen, die Anzeige im Browser klappt sogar auch. Und zur Zeit sind aus Testzwecken keine Filter-Regeln aktiv.

Der IPFilter-Rechner dient gleichzeitig als NAT-Router. Muss ich vielleicht auch unbedingt eine map-Regel anlegen?

Grundsätzlich soll es nämlich folgendermaßen funktionieren: Besteht für einen bestimmten Rechner eine NAT-Freischaltung durch eine entsprechende map-Regel, soll dieser Rechner auch auf Webserver im Internet zugreifen dürfen. Besitzt er keine Freigabe durch eine solche Regel, soll er auf 127.0.0.1:8000 umgeleitet werden.

 

[happy]

ich weiss nimmer genau, aber ich habe das damals bei DNS in der named.conf gefrikelt (muss halt den BIND laufenlassen) , so das manche clients immer auf die locale Site gelandet sind z.B wenn seite im Internet nicht erreichbare seite aufgerfuen haben.oder in die URL adresszeile irgendwas eingetippt haben, Schon sehr lang her.....
zu dem rdr , vieleicht hilft meine alte config
http://vsftpd.de/~happy/freebsd_dsl_router_ipf.html