[WLANtalk] Port-Weiterleitung aus dem Internet ins Freifunk-Netz via Gateway?

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Sa Sep 27 12:44:12 CEST 2014


Hallo Freifunker,

ich bin auf der Suche nach einem Experten für Firewall-Einstellungen
unter Linux. Nachdem ich einen News Server innerhalb
unseres Freifunk-Netzes eingerichtet habe, möchte ich diesen mittels
Port-Weiterleitung über ein Gateway auch im Internet verfügbar machen.
An und für sich sollte das eine einfache Sache sein. Leider beiße ich
mir schont seid mehreren Tagen die Zähne an der Firewall-Konfiguration
aus. Die Weiterleitung funktioniert noch nicht mal innerhalb des
Freifunk-Netzes. Hier die IPv4-Adressen der beteiligten Rechner:

Client: 10.119.2.36
Gateway: 10.119.0.2
News Server: 10.119.2.1

Die Firewall-Konfigurationen auf dem Gateway und News Server findet ihr
am Ende dieser Mail (generiert mit iptables-save). Der News Server ist
innerhalb des Freifunk-Netzes prinzipiell ansprechbar. Die
Portweiterleitung funktioniert jedoch nicht:

Client:~$ telnet 10.119.2.1 119

-> Ich bekommen eine Verbindung zum News Server. Im Log auf dem News
Server finde ich die folgenden Einträge:

Sep 23 22:03:09 box-1719 kernel: [ 3317.604082] IN=eth0 OUT=
MAC=b8:27:eb:95:ff:cf:00:1c:7b:73:df:54:08:00:45:00:00:34:56:a2:40:00:80:06:8b:0f SRC=10.119.2.36 DST=10.119.2.1 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=22178 DF PROTO=TCP SPT=52585 DPT=119 WINDOW=64240 RES=0x00 SYN URGP=0 
Sep 23 22:03:09 box-1719 kernel: [ 3317.604291] IN= OUT=eth0
SRC=10.119.2.1 DST=10.119.2.36 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=TCP SPT=119 DPT=52585 WINDOW=29200 RES=0x00 ACK SYN URGP=0

Gateway:~$ telnet 119.2.1 119

-> Ich bekomme eine Verbindung zum News Server. Im Log auf dem News
Server finde ich die folgenden Einträge:

Sep 23 22:05:23 box-1719 kernel: [ 3451.289275] IN=eth0 OUT=
MAC=b8:27:eb:95:ff:cf:8e:0a:26:71:bf:90:08:00:45:10:00:3c:53:17:40:00:40:06:d0:a4 SRC=10.119.0.2 DST=10.119.2.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=21271 DF PROTO=TCP SPT=40617 DPT=119 WINDOW=14600 RES=0x00 SYN URGP=0
Sep 23 22:05:23 box-1719 kernel: [ 3451.289487] IN= OUT=eth0
SRC=10.119.2.1 DST=10.119.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=TCP SPT=119 DPT=40617 WINDOW=28960 RES=0x00 ACK SYN URGP=0

Client:~$ telnet 10.119.0.2 119

-> Der Port 119 auf dem Gateway sollte gem. Firewall-Konfiguration via
DNAT auf den Port 119 des News Servers umgeleitet werden. Es kommt
jedoch keine Verbindung mit dem News Server zustande (telnet hängt und
bricht nach einer Weile ab). Im Log auf dem Gateway finde ich den
folgenden Eintrag:

Sep 23 22:08:16 v22014042172218235 kernel: [857116.435406] IN=br-ff3l
OUT= PHYSIN=bat0 MAC=8e:0a:26:71:bf:90:00:1c:7b:73:df:54:08:00
SRC=10.119.2.36 DST=10.119.0.2 LEN=52 TOS=0x00 PREC=0x00 TTL=128
ID=22832 DF PROTO=TCP SPT=52595 DPT=119 WINDOW=64240 RES=0x00 SYN URGP=0
MARK=0x1

Das Log auf dem News Server zeigt keinen eingehenden Verkehr auf Port
119 an. Es scheinen also keine Pakete weitergeleitet zu werden. 

Was mache ich falsch? Hat jemand schon einmal etwas ähnliches versucht
und damit Erfolg gehabt? Ich bin für jeden Hinweis dankbar!

LG,

Bernd

--

Firewall-Konfiguration Gateway
# Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014
*nat
:PREROUTING ACCEPT [3702:235152]
:INPUT ACCEPT [3212:206747]
:OUTPUT ACCEPT [8954:542098]
:POSTROUTING ACCEPT [8935:540382]
-A PREROUTING -d 10.119.0.2/32 -p tcp -m tcp --dport 119 -j LOG
-A PREROUTING -d 10.119.0.2/32 -p tcp -m tcp --dport 119 -j DNAT
--to-destination 10.119.2.1:119
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Sep 23 21:55:18 2014
# Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014
*mangle
:PREROUTING ACCEPT [704182:103262550]
:INPUT ACCEPT [672346:85451160]
:FORWARD ACCEPT [31746:17807633]
:OUTPUT ACCEPT [233575:44641946]
:POSTROUTING ACCEPT [265321:62449579]
-A PREROUTING -i br-ff3l -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Tue Sep 23 21:55:18 2014
# Generated by iptables-save v1.4.14 on Tue Sep 23 21:55:18 2014
*filter
:INPUT ACCEPT [142415:25433618]
:FORWARD ACCEPT [18900:11366277]
:OUTPUT ACCEPT [57866:17656625]
COMMIT
# Completed on Tue Sep 23 21:55:18 2014

Firewall-Konfiguration News Server
# Generated by iptables-save v1.4.14 on Tue Sep 23 22:04:33 2014
*nat
:PREROUTING ACCEPT [67:4573]
:INPUT ACCEPT [9:1051]
:OUTPUT ACCEPT [2:146]
:POSTROUTING ACCEPT [2:146]
COMMIT
# Completed on Tue Sep 23 22:04:33 2014
# Generated by iptables-save v1.4.14 on Tue Sep 23 22:04:33 2014
*filter
:INPUT ACCEPT [150:11409]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [79:18200]
-A INPUT -d 10.119.2.1/32 -p tcp -m tcp --dport 119 -j LOG
-A OUTPUT -s 10.119.2.1/32 -p tcp -m tcp --sport 119 -j LOG
COMMIT
# Completed on Tue Sep 23 22:04:33 2014



Mehr Informationen über die Mailingliste WLANtalk