Port umleiten

  • Hallo Forum, ich habe in meinem Netz zwei Pi's für die Server-Sachen, einer der den Proxy, Mail, DNS und DHCP (192.168.2.5) übernimmt und einen der die Speichersachen macht. Jetzt möchte ich gerne auf dem, der die Speichersachen macht (192.168.2.6) noch einen NTPD einrichten. Damit dieser auch seinen Dienst verrichtet, sollten alle NTP-Anfragen die normalerweise ins Internet gerichtet sind an diesen (192.168.2.6) umgeleitet werden. Ich benötige also eine Portweiterleitung von meinem Router (192.168.2.5) auf meinen "Speicherserver" (192.168.2.6).
    Also die erste Regel leuchtet mir ja noch ein:
    iptables -A INPUT -i eth0 -s 192.168.2.6 -p udp --dport 123 -j DENY
    Die sagt einfach, daß Antworten die vom NTP-Server kommen nicht weitergeleitet werden.

    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 123 -j DNAT --to
    Hier werden dann die Anfragen vom Netz, die den Zielport 123 haben an den Zeitserver umgeleitet

    Jetzt kommt aber die Krux, wie mache ich das mit der erwarteten Senderadresse? Wenn der KLient im Netz jetzt z.B. eine Anfrage an die Adresse 85.123.132.33 sendet, erwartet er ja auch eine Antwort von dieser Adresse. Wie heißt die Regel um das Paket das der NTP-Server sendet mit der richtigen Absenderadresse zu versehen?

    Danke im voraus

  • Moin,

    erst einmal die Frage: Was hast du da als Router im Einsatz?

    Ich nehme mal an das ist eine Linux Büchse:

    Code
    sudo sysctl net.ipv4.ip_forward=1
    # oder echo "1" > /proc/sys/net/ipv4/ip_forward
    sudo modprobe ip_conntrack
    sudo iptables -t nat -A PREROUTING -p udp --dport 123 -j DNAT --to-destination 192.168.2.6:123
    sudo iptables -t nat -A POSTROUTING -j MASQUERADE
  • Verstehe ich das jetzt richtig, durch

    Zitat


    sudo iptables -t nat -A PREROUTING -p udp --dport 123 -j DNAT --to-destination 192.168.2.6:123

    wird die Empfängeradresse von jedem Datenpakete auf den "Server" auf dem der NTPD läuft geändert.
    durch

    Zitat


    sudo iptables -t nat -A POSTROUTING -j MASQUERADE


    wird noch die Empfängeradresse auf den Rechner geändert, der die "Umleitung" erledigt.
    Der Rückweg wird dann praktisch automatisch von iptables verwaltet, wenn ich richtig gelesen habe.
    Also das Umschreiben der Absenderadresse und der Empfängeradresse.
    Gibt es eine Möglichkeit den Netzwerkverkehr "live" mitzuschreiben, so das ich sehe ob ich es richtig gemacht habe?


  • Gibt es eine Möglichkeit den Netzwerkverkehr "live" mitzuschreiben, ...

    Ja, z. B. mit:

    Code
    sudo tcpdump -vvveni any udp port 123

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!