Natd / Portforwarding

  • Ersteller Ersteller Lstwol
  • Erstellt am Erstellt am
L

Lstwol

Guest
Hallo zusammen, ich habe folgendes Probelm:

Ich habe mir vor kurzem eine kleine Webcam gekauft und wollte nun vom Internet darauf zugreifen. Die Webcam läuft auf einem Windows XP rechner und öffnet den Port 80. Vom lokalen Netz kann ich auch wunderbar darauf zugreifen, nur von extern funkioniert das irgendwie nicht.

Als firewall nutze ich FreeBSD 6.1 mit ipfw und natd. Ich habe auch schon probiert die firewall komplett zu öffnen, weil ich vermutet hatte, dass es vielleicht die Firewall blockt, aber dem war nicht so. Ich such jetzt schon n weilchen in google und diversen foren nach einer lösung, aber habe bis jetzt nichts gefunden was mir weiterhilft. Vielleicht könnt ihr mir ja weiterhelfen.

Im anhang habe ich mal die natd.conf mitangegeben

Vielen dank für eure mühe schon einaml im Voraus


-----------------
interface tun0
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes


# forward webcam
redirect_port tcp 192.168.0.4:80 80
redirect_port udp 192.168.0.4:80 80


# Allow Emule to work
redirect_port tcp 192.168.0.253:4242 4242
redirect_port tcp 192.168.0.253:4661 4661
redirect_port tcp 192.168.0.253:4662 4662
redirect_port tcp 192.168.0.253:4711 4711
redirect_port udp 192.168.0.253:4665 4665
redirect_port udp 192.168.0.253:4666 4666
redirect_port udp 192.168.0.253:4672 4672

# allow mldonkey webInterface
#redirect_port tcp 192.168.0.253:4001 4001
#redirect_port tcp 192.168.0.253:1213 1213

# Allow irc ident
redirect_port tcp 192.168.0.4:113 113
 
also in meinem firewall log (/var/security) und in /var/messages steht nichts drin.
und tcpdump hab ich jetzt noch gar net probiert? wie muss ich dass denn einsetzten?
 
Hi Lstwol, bringt dich deine Firewall ins Internet? Oder hängt davor zufällig noch ein DSL-Router? Wenn dem so ist, musst du Portforwarding auf dem Router noch einstellen.
 
Also mein Konfiguration ist


Inet --> Firewall (FreeBSD) --> Switch ---> Laptop
---> Fileserver
---> Workstation
---> Wlan Router




Hier noch n kleiner auszug aus meiner rc.firewall die beim start geladen wird
Code: 
# cleanup before we start
${fwcmd} -f flush

# set own vars
inet="tun0"
loc="rl0"
#lan="rl2"


	case ${natd_enable} in
		[Yy][Ee][Ss])
			if [ -n "${natd_interface}" ]; then
				${fwcmd} add divert natd all from any to any via ${natd_interface}
			fi
			;;
	esac
	

#FIREWALL RULES (firewall)
${fwcmd} add check-state

# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# only for test of webcam
${fwcmd} add pass all from any to any

# Allow all from firewall (firewall is secure, i hope)
${fwcmd} add pass tcp from me to any setup keep-state
${fwcmd} add pass udp from me to any keep-state

${fwcmd} add pass icmp from any to any icmptypes 0,3,4,8,11

# Allow ssh to firewall
#${fwcmd} add pass tcp from any to me 22 setup keep-state
	
# DNS-Server auf firewall
${fwcmd} add pass udp from any to me 53 keep-state
 
Wenn ich das richtig gesehen habe, fehlt dir die Regel, die die Zugriffe von Extern auf Port 80 zulassen.

Also sowas wie:
Code: 
add pass tcp from any to $int-ip 80 setup keep-state

Eigentlich funktioniert dein Forwarding der Tauschbörsen-Ports auch nicht, oder?

Ciao.
Markus Mann
];-)
 
also wenn ich die regeln für die Tauschbörse rausnehme bekomme ich immer nur ne LowID, von dem her gehe ich mal davon aus, dass diese regeln funktionieren.

Die regel für den port 80 hab ich schon drin

Code: 
# only for test of webcam
${fwcmd} add pass all from any to any

hab zum testen mal alles aufgemacht.

Das komische ist auch, dass es bei ssh auch nicht funktioniert, hab nämlich versucht SSH auch auf mein internen Server weiterzuleiten, aber das funktioniert auch nicht.

Hänge jetzt an diesem Problem wirklich schon ewwigkeiten dran und komme nicht weiter, habe google schon bis zur letzten seite durchgesucht und bin langsam wirklich am verzweifeln. *seufz*
 
Kannst du bitte die komplette Ausgabe von ipfw show posten?

Ciao.
Markus Mann
];-)
 
Sieht bei mir so aus

Code: 
00100 72402337 15800183538 divert 8668 ip from any to any via tun0
00200        0           0 check-state
00201   365288    31017626 allow ip from any to any
00300 24306938  3119029833 allow tcp from any to any established
00400 14540136  1348261129 allow tcp from me to any setup keep-state
00500    41574     4982111 allow udp from me to any keep-state
00600  1043456    71799685 allow icmp from any to any icmptypes 0,3,4,8,11
00700    16115     2060273 allow udp from any to me dst-port 53 keep-state
00800  1406491   945962222 allow tcp from any to any dst-port 80 setup keep-state
00900   110207    35337476 allow tcp from any to any dst-port 8080 setup keep-state
01000    68804    13522105 allow tcp from any to any dst-port 443 setup keep-state
01100   231464    16657760 allow tcp from any to any dst-port 22 setup keep-state
01200    33246    21745587 allow tcp from any to any dst-port 5999 setup keep-state
01300    45534     4830153 allow tcp from any to 213.165.64.22 dst-port 995 setup keep-state
01400    59107     9005420 allow tcp from any to 217.72.192.134 dst-port 995 setup keep-state
01500     7959      780635 allow tcp from any to 64.233.183.109 dst-port 995 setup keep-state
01600    34394    25081981 allow tcp from any to 141.31.232.122 dst-port 995 setup keep-state
01700    12158      628012 allow tcp from any to 194.25.134.24,194.25.134.25,194.25.134.26,194.25.134.27,194.25.134.32,194.25.134.33,194.25.134.88,194.25.134.89,194.25.134.90,194.25.134.91,194.25.134.96,194.25.134.97 dst-port 110 setup keep-state
01800      313       37250 allow tcp from any to 213.165.64.20,213.165.64.21 dst-port 587 setup keep-state
01900       85       12799 allow tcp from any to 217.72.192.157 dst-port 587 setup keep-state
02000        0           0 allow tcp from any to 64.233.183.109 dst-port 587 setup keep-state
02100        0           0 allow tcp from any to 194.25.134.24,194.25.134.25,194.25.134.26,194.25.134.27,194.25.134.32,194.25.134.33,194.25.134.88,194.25.134.89,194.25.134.90,194.25.134.91,194.25.134.96,194.25.134.97 dst-port 25 setup keep-state
02200    35141     2791157 allow tcp from any to any dst-port 5190 setup keep-state
02300      614       41936 allow tcp from any to any dst-port 113 setup keep-state
02400     5168      415780 allow tcp from any to any dst-port 6665 setup keep-state
02500    60508     4391392 allow tcp from any to any dst-port 6667 setup keep-state
02600   122029     8574323 allow tcp from any to any dst-port 5223 setup keep-state
02700     1454      225828 allow tcp from any to any dst-port 706 setup keep-state
02800    72866    65399780 allow tcp from any to any dst-port 119 setup keep-state
02900   215881    27846878 allow tcp from any to any dst-port 4242 setup keep-state
03000  1445460   190470760 allow tcp from any to any dst-port 4661 setup keep-state
03100 97590123 25132198490 allow tcp from any to any dst-port 4662 setup keep-state
03200    38640     3299454 allow tcp from any to any dst-port 4711 setup keep-state
03300      995       45754 allow udp from any to any dst-port 4665 keep-state
03400      115        6107 allow udp from any to any dst-port 4672 keep-state
03500   257666    16348276 unreach port log tcp from any to any
03600   536766    29328739 unreach port log udp from any to any
03700     1206       75469 deny log ip from any to any
65535        7         504 deny ip from any to any
 
Die Regeln 100 und 800 (bzw. 200) sorgen IMHO dafür, dass ankommende Pakete vom natd erst verändert werden und dann durchgelassen werden. Die Zähler sagen auch aus, dass die Regeln wirklich zutreffen.

Sorry, aber ich sehe den Unterschied zwischen den Regeln für Port 4662 und Port 80 bzw. 22 auch nicht.

Letzer Versuch: Der natd wurde mit der neuen Konfiguration neu gestartet? Ganz sicher?

Ciao.
Markus Mann
];-)
 
Ich muss gestehen, dass ich mit diesem Thema an sich fast keine Erfahrung habe, deshalb im Voraus schonmal meine Entschuldigung, falls ich jetzt Schwachsinn verzapfe.

Ich hatte mal ein ähnliches Problem, jedoch unter anderen Bedingungen. Auch bei mir waren anscheinend alle Einstellungen richtig, amule hat funktioniert, aber ich konnte nicht per ssh einloggen oder den Webserver erreichen. Ich hab mir damals echt den Wolf gepostet und keiner konnte helfen.

Langer Rede kurzer Sinn: Bei mir hat es nur nicht funktioniert wenn ich versucht habe vom eigenen Rechner aus über WAN-IP/Domain auf eben selbigen Rechner zuzugreifen. Um so einen Fehler auszuschließen könntest Du z.B. über https://www.grc.com/x/ne.dll?bh0bkyd2 mal nachsehen, ob deine Ports nicht schon lange offen sind. (Einfach auf Proceed, dann Ports checken)

Wie gesagt, kann sein dass ich hier totalen Müll von mir gebe; falls ja sehts mir nach, ich will nur helfen :). Damals haben sich ein paar kompetente Leute den Kopf zerbrochen und sind nicht weitergekommen -- dieser Thread hat mich ein Bisschen daran erinnert!

Ich hab damals nicht schlecht gestaunt, dass eigentlich die ganze Zeit alles funktioniert hat, eben bloß nicht von Zuhause aus.

EDIT:
Ich nutze die Seite nur, um meine Ports mal von einem 'fremden' Rechner aus zu scannen. Das ganze Geblubber von wegen 'Stealth' & Co sollte man IMHO ignorieren. Die Jungs wollen halt was verkaufen ;)
 
Zuletzt bearbeitet:
frage:ist das DSL Anschluss ohne hardware router?? wenn ja, dann hast du nat in ppp auf YES?
in /etc/defaults/rc.conf
ppp_nat="YES" # Use PPP's internal network address translation or NO.

?
Das kann durchaus möglich sein dass ppp nat regelt und du bekommst das nicht mit.
hast du ne
ip-up.sh?
ich nutz ipnat und ipf , aber habe damals den fehler gemacht das ich am Anfang nicht mit bekommen habe das pppd schon das NAT übernomen hat. ;)
 
So guten morgen zusammen.

also natd starte ich immer mit
Code: 
/etc/rc.d/natd restart
neu

meine rc.conf sieht folgendermassen aus

Code: 
# -- sysinstall generated deltas -- # Thu Apr 15 18:18:16 2004
# Created: Thu Apr 15 18:18:16 2004
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.

# Basic network configuration
hostname="firewall.blablup"
ifconfig_if="up"
ifconfig_rl0="inet 192.168.0.254 up netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.1.254 up netmask 255.255.255.0"

keymap="german.iso"
keyrate="fast"

# enable sshd
sshd_enable="YES"

usbd_enable="NO"

# enable smart monitoring
smartd_enable="YES"

# Enable dhcpd
dhcpd_enable="YES"

# options for DSL
ppp_enable="YES"
ppp_profile="blablup"
ppp_mode="ddial"
ppp_nat="NO"

# dyndns update
ez_ipupdate_enable="YES"

# Enable Proxy
squid_enable="no"

# Enable DNS
named_enable="YES"

# == sysctl -w net.inet.ip.forwarding=1
gateway_enable="YES"

# Masquerading
natd_enable="YES"            # Enable natd (if firewall_enable == YES).
natd_interface="tun0"
natd_flags="-f /usr/local/etc/natd.conf"

### Basic network and firewall/security options: ###
firewall_enable="YES"        # Set to YES to enable firewall functionality
firewall_type="blablup"         # Firewall type (see /etc/rc.firewall)
firewall_script="/usr/local/etc/rc.firewall.blablup" # Which script to run to set up the firewall
firewall_logging="YES"       # Set to YES to enable events logging

# enable timesync
ntpdate_flags="europe.pool.ntp.org"
ntpdate_enable="YES"


zu aspiring: vielen dank für deine hilfe, aber irgendwie stimmt der scan bei mir nicht, denn von ausserhalb kann ich mich auf meinen ssh port auf der firewall einloggen, das is kein porblem, aber der scan sagt mir trotzdem dass alles zu ist.
Das Problem ist ja das forwarding, wie gesagt ich hab mal ssh probiert auf meinen internen fileserver weiterzuleiten und das hat dann auch nicht mehr funktioniert. Was ich sehr komisch finde, denn beim mldonkey scheint es ja zu funktionieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben