iptables port forwarding

  • Hallo,

    ich wähle mich auf meinem Pi in einem VPN ein. Nun möchte ich gerne, dass der Traffic, der auf dem VPN-Device (tun0) auf Port 443 hereinkommt auf eine andere IP in meinem LAN (nur erreichbar über wlan0) weitergeleitet wird.
    Dafür habe ich folgende iptables-Regel:

    Code
    iptables -t nat -A PREROUTING -p tcp -i tun0 --dport 443 -j DNAT --to-destination 192.168.0.10:443
    iptables -A FORWARD -p tcp -d 192.168.0.10 --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


    ipv4-Forwarding ist eingeschaltet:

    Code
    ➜  ~  sysctl -a | grep \\.ip_forward
    net.ipv4.ip_forward = 1
    ➜  ~


    Hat jemand eine Idee, warum das trotzdem nicht funktioniert und der Traffic auf Port 443 nicht weitergeleitet wird?

    Viele Grüße
    hal


  • ... auf dem VPN-Device (tun0) auf Port 443 hereinkommt auf eine andere IP in meinem LAN (nur erreichbar über wlan0) weitergeleitet wird.

    Code
    iptables -t nat -A PREROUTING -p tcp -i tun0 --dport 443 -j DNAT --to-destination 192.168.0.10:443
    iptables -A FORWARD -p tcp -d 192.168.0.10 --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    Ist diese Verbindung zum Port 443 bzw. über den Port 443 eine SSL-Verbindung (mit Zertifikat)?
    Schau mal auf deinem Pi mit:

    Code
    sudo tcpdump -c 100 -vvveni any port 443


    bzw. auf deinem Gerät, das die IP-Adresse 192.168.0.10 hat, mit:

    Code
    sudo tcpdump -c 100 -vvveni any port 443


    nach, was dort am Port 443 ankommt bzw. weitergeleitet/geantwortet wird. Ich denke wenn die Anwendung (Dienst) die auf dem Port 443 lauscht "richtig konfiguriert" ist, dann kann bzw. wird diese keine x-beliebige Anfrage/Verbindung (wie z. B. eine Weiterleitung) annehmen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (19. Januar 2015 um 08:18)

  • Code
    iptables -vL


    und schau mal wo die Pakete hängenbleiben.

    Und poste mal bitte das komplette IP Tables Script, incl den Default's der Chains.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!