[uplug] iptables-foo

Thomas Mellenthin thomas at home.mellenthin.de
Fr Mär 26 13:46:00 CET 2010


Hi,

ich bin gerade von iptables vewirrt, vielleicht hat jemand von Euch eine 
Idee...

Ich habe einen Server (42.46.42.104), auf dem laufen OpenVZ-Instanzen 
mit den IPs 192.168.1.xx.
Die Firewall maskiert die Pakete aus den Instanzen korrekt, das 
Portforwarding zu den Instanzen klappt auch, die Dienste sind also von 
außen erreichbar.

Leider kann man über die Außen-IP nicht von einer VZ mit einer anderen 
VZ (oder mit der selben VZ) reden.

Mein Forwarding und Masquerading Aufruf sieht so aus (vz10, SMTP):

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 42.46.42.104 --dport 25 
-j DNAT --to 192.168.1.10:25
iptables -A FORWARD -p tcp -i eth0 -d 192.168.1.10 --dport 25 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 
42.46.42.104

von außen klappt der Zugriff:

telnet 42.46.42.104 25
Trying 42.46.42.104...
Connected to 42.46.42.104.
Escape character is '^]'.
220 mail.xxxx.de ESMTP Postfix (Ubuntu)

von innen (also von einm system mit 192.168.1.xx-IP) leider nicht:

# telnet 42.46.42.104 25
Trying 42.46.42.104...


Muss man dort noch mehr maskieren? Was habe ich übersehen ? Im syslog 
sind keine gedropten Pakete zu sehen, ich bin also unsicher, ob das ein 
Firewall- oder eher ein Routingproblem ist.



viele Grüße,

// melle

-- 
xmpp: melle at jabber.ccc.de passion: http://mellenthin.de
F489 2C4F E8C2 9A15 DBCB mission: http://freifunk-potsdam.de
127C 81B6 FDC3 7C1A FF85 pubkey: http://mellenthin.de/key.txt



Mehr Informationen über die Mailingliste upLUG