6
(wie) Ist IP Forwarding über einen Server IM RZ mit 1 NIC mit öffentlicher IP möglich
Hallo,
ich würde gerne TCP-Verbindungen über einen Server im RZ mit 1 NIC und öffentlicher IP forwarden.
Das Gerät hat nur eine NIC (eth0) und Ich kann ein beliebiges OS installieren. Ich würde ubuntu nehmen wenn nicht was anderes besser ist.
Nun möchte ich gerne eingehende TCP-Verbindungen weiterleiten.
Es muss beliebige TCP-Protokolle können. Von SMTP über SSH zu RDP.
Ausgangspunkt:
Mein PC im Büro
sitzt ganz normal hinter einer NAT-Firewall die eine dynamische öffentliche IP hat
Zwischenserver
Ist im RZ
ETH0: z.B. 85.85.85.85 (statische öffentliche IP)
Zielserver
z.B. ein SSH-Server
statische öffentliche IP
Frage
Kann ich mit iptable einen redirekt mit nur 1 Netzwerkkarte am Zwischenserver einrichten.
Ich könnte eine 2. öffentliche IP bekommen. Das wäre dann ETH0.1.
Am besten mit NAT.
Eigentlich brauche ich dafür auch kein NAT, da der Ausgangsknoten normal erreichbar ist. Vermutlich wird aber die Firewall die Antworten dann nicht zuordnen können und verwerfen.
Es gibt dazu viele Anleitungen und Infos.
Aber fast alle gehen von ETH0 und ETH1 aus sowie LAN und WAN.
Ein Schubs in die richtige Richtung wäre nett.
Stefan
/Edit: Oder gibt es fertige TCP-Proxys?
ich würde gerne TCP-Verbindungen über einen Server im RZ mit 1 NIC und öffentlicher IP forwarden.
Das Gerät hat nur eine NIC (eth0) und Ich kann ein beliebiges OS installieren. Ich würde ubuntu nehmen wenn nicht was anderes besser ist.
Nun möchte ich gerne eingehende TCP-Verbindungen weiterleiten.
Es muss beliebige TCP-Protokolle können. Von SMTP über SSH zu RDP.
Ausgangspunkt:
Mein PC im Büro
sitzt ganz normal hinter einer NAT-Firewall die eine dynamische öffentliche IP hat
Zwischenserver
Ist im RZ
ETH0: z.B. 85.85.85.85 (statische öffentliche IP)
Zielserver
z.B. ein SSH-Server
statische öffentliche IP
Frage
Kann ich mit iptable einen redirekt mit nur 1 Netzwerkkarte am Zwischenserver einrichten.
Ich könnte eine 2. öffentliche IP bekommen. Das wäre dann ETH0.1.
Am besten mit NAT.
Eigentlich brauche ich dafür auch kein NAT, da der Ausgangsknoten normal erreichbar ist. Vermutlich wird aber die Firewall die Antworten dann nicht zuordnen können und verwerfen.
Es gibt dazu viele Anleitungen und Infos.
Aber fast alle gehen von ETH0 und ETH1 aus sowie LAN und WAN.
Ein Schubs in die richtige Richtung wäre nett.
Stefan
/Edit: Oder gibt es fertige TCP-Proxys?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 355037
Url: https://administrator.de/contentid/355037
Printed on: April 19, 2024 at 12:04 o'clock
6 Comments
Latest comment
Moin,
mit NAT und/oder Port-FW würde ich da gar nichts machen. Entweder ein SSH Tunnel über den "Zwischenserver" oder ein OpenVPN
lg,
Slainte
mit NAT und/oder Port-FW würde ich da gar nichts machen. Entweder ein SSH Tunnel über den "Zwischenserver" oder ein OpenVPN
lg,
Slainte
Klar geht das, IP-Forwarding ist eine Kernelfunktion und da ist es irrelevant welche Interfaces du bedienst.
Via VPN einwählen, und den Traffic an der Firewall von der öffentlichen IP entsprechend auf den VPN-Clienten/Netz weiterleiten geht problemlos.
Via VPN einwählen, und den Traffic an der Firewall von der öffentlichen IP entsprechend auf den VPN-Clienten/Netz weiterleiten geht problemlos.
Hallo,
Danke für den Tipp, aber ich möchte gerne ein TCP-Forward oder - NAT. Ohne VPN.
Es geht um die Machbarkeit für ein Projekt. Weniger um eine praktische Anwendung.
Stefan
Danke für den Tipp, aber ich möchte gerne ein TCP-Forward oder - NAT. Ohne VPN.
Es geht um die Machbarkeit für ein Projekt. Weniger um eine praktische Anwendung.
Stefan
Anders wäre es ja auch schwer möglich. Normal forwardet der Server ja nach den Absender und Zieladressen im IP Header (Layer 3) was ja dann stinknormales Routing wäre und dann realtiv einfach in der Realisation. Ob mit oder ohne NAT ist irrelevant, denn das sind Standardfunktionen die jeder einfache Router realisieren kann. Ubuntu mit Bordmitteln natürlich auch.
Hört sich aber so an als ob der Server aktiv die inbound Session nach Anwendung terminieren soll und dann eine neue Session weiterleiten soll. Das ist so ohne weiteres ja nicht möglich. Oder nur mit erheblichem Aufwand. Das wäre dann so quasi ein Layer 4 bis 7 Switching also sowas was klassische Load Balancer machen.
Hört sich aber so an als ob der Server aktiv die inbound Session nach Anwendung terminieren soll und dann eine neue Session weiterleiten soll. Das ist so ohne weiteres ja nicht möglich. Oder nur mit erheblichem Aufwand. Das wäre dann so quasi ein Layer 4 bis 7 Switching also sowas was klassische Load Balancer machen.
Hallo,
nehmen wir als Beispiel z.B. POP3.
Der Ausgangspunkt schickt die Pakete an den Zwischenserver auf Port 16800.
Der Zwischenserver schickt die Daten an den Zielserver auf Port 110
Der Zielserver schickt die Antwort entweder zurück an den Zwischenserver (NAT) oder den Ausgangspunkt (kein NAT)
Ist sowas ohne VPN und ohne 2. NIC möglich?
Ich kann die IPs ja nicht über die Subnetzmaske einem Interface zuordnen.
Stefan
nehmen wir als Beispiel z.B. POP3.
Der Ausgangspunkt schickt die Pakete an den Zwischenserver auf Port 16800.
Der Zwischenserver schickt die Daten an den Zielserver auf Port 110
Der Zielserver schickt die Antwort entweder zurück an den Zwischenserver (NAT) oder den Ausgangspunkt (kein NAT)
Ist sowas ohne VPN und ohne 2. NIC möglich?
Ich kann die IPs ja nicht über die Subnetzmaske einem Interface zuordnen.
Stefan
Ja, simpler Portproxy
Bidirektionale IP- UND Port-Translation: Wie lauten die konkreten iptables-Befehle?
Bidirektionale IP- UND Port-Translation: Wie lauten die konkreten iptables-Befehle?
