---

Hej alle,

Jeg har lidt problemer med at portforwarde port 8180 til 80, med iptables.

Følgende linie burde løse problemet:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8180 -j
REDIRECT --to-port 80

Det eneste der sker er at serveren ikke længere, tager imod connections på
port 8180, og ligledes ikke på port 80. Er der nogen der har et bud på hvad
der er galt?

mvh

Anders

PS: Der kører intet på port 80 i forvejen.

---

Den Tue, 29 Apr 2003 11:28:46 -0700 skrev Anders Nørgaard:
>Hej alle,
>
>Det eneste der sker er at serveren ikke længere, tager imod connections på
>port 8180, og ligledes ikke på port 80. Er der nogen der har et bud på hvad
>der er galt?
>
>PS: Der kører intet på port 80 i forvejen.

Når der ikke kører noget på port 80, skal den heller ikke tage imod
connections.

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

---

"Anders Nørgaard" wrote:
>
> Det eneste der sker er at serveren ikke længere, tager imod connections på
> port 8180, og ligledes ikke på port 80. Er der nogen der har et bud på hvad
> der er galt?

Du har måske lavet redirection i den modsatte retning
af, hvad du har tænkt dig. Virker det som ønsket, hvis
du bytter om på portnumrene?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Hej Kasper,

Har nettop prøvet at bytte om på portne, men det hjalp ikke. Det jeg skal er
at flytte en tomcat server fra port 8180 til 80 dvs. at alt der kommer ind
til maskinen skal forwardes til port 80.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8180 -j
REDIRECT --to-port 80

Eksemplet overfor skulle kunne klare det, men kan det evt. passe at jeg
mangler noget i reglen med input kæden?
Da pakker til input kæden, er til maskinen selv, jeg må indrømme at jeg
ikke er helt med på hvordan det virker.

Håber der en der kan hjælpe, har prøvet at lave nogle eksempler med

iptables -A INPUT -p tcp --dport 8180 -j REDIRECT --to-port 80

men uden helt

---

"Anders Nørgaard" wrote:
>
> Hej Kasper,
>
> Har nettop prøvet at bytte om på portne, men det hjalp ikke. Det jeg skal er
> at flytte en tomcat server fra port 8180 til 80 dvs. at alt der kommer ind
> til maskinen skal forwardes til port 80.

Serveren bliver jo ikke flyttet til en anden port af at lave iptables
regler. Du ændrer på de indgående (og udgående) pakker, så de ender på
en anden port end ellers. Prøv lige at forklart hvordan dit nuværende
setup er og hvad du prøver at opnå, og lad os så også få outputet fra
iptables-save kommandoen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Hej kasper,

> Serveren bliver jo ikke flyttet til en anden port af at lave iptables
> regler. Du ændrer på de indgående (og udgående) pakker, så de ender på
> en anden port end ellers.

Ja nemlig. Tomcat kører på port 8180, og jeg vil gerne havde den til at køre
på port 80.
dvs. den skal tage imod request på port 80, så man slipper for at angives
portnummer i browseren.

Grunden til at jeg ikke ændrer i tomcat konfigurationen for at køre på port
80, er af sikkerheds mæssige grunde.
Da alle services der kører under port <1024 skal have root retigheder.
Efter hvad jeg har læst på nettet, er det mest hensigtmæssig at bruge
iptables, til at løse problemet.


> Prøv lige at forklart hvordan dit nuværende
> setup er og hvad du prøver at opnå, og lad os så også få outputet fra
> iptables-save kommandoen.

# Generated by iptables-save v1.2.6a on Wed Apr 30 20:35:08 2003
*nat
:PREROUTING ACCEPT [10687:601731]
:POSTROUTING ACCEPT [509:77385]
:OUTPUT ACCEPT [870:140368]
-A PREROUTING -d 192.168.0.2 -i eth0 -p udp -m udp --dport 701
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8180 -j REDIRECT --to-ports 80
-A POSTROUTING -o eth0 -j SNAT --to-source 195.215.90.xx
COMMIT
# Completed on Wed Apr 30 20:35:08 2003
# Generated by iptables-save v1.2.6a on Wed Apr 30 20:35:08 2003
*mangle
:PREROUTING ACCEPT [1833213:573570792]
:INPUT ACCEPT [1153297:136341319]
:FORWARD ACCEPT [679913:437228406]
:OUTPUT ACCEPT [1177268:374392929]
:POSTROUTING ACCEPT [1859205:812087472]
COMMIT
# Completed on Wed Apr 30 20:35:08 2003
# Generated by iptables-save v1.2.6a on Wed Apr 30 20:35:08 2003
*filter
:INPUT DROP [2:132]
:FORWARD DROP [3:3932]
:OUTPUT ACCEPT [154:129466]
:block - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
-A INPUT -j block
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i eth1 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Wed Apr 30 20:35:08 2003


Sådan håberer det virker mere klart nu

---

Den Wed, 30 Apr 2003 18:35:52 -0700 skrev Anders Nørgaard:
>Hej kasper,
>
>> Serveren bliver jo ikke flyttet til en anden port af at lave iptables
>> regler. Du ændrer på de indgående (og udgående) pakker, så de ender på
>> en anden port end ellers.
>
>Ja nemlig. Tomcat kører på port 8180, og jeg vil gerne havde den til at køre
>på port 80.

Så stopper du den, og ændrer den til at køre på port 80, og starter den
igen. Det behøver du slet ikke iptables for.

>dvs. den skal tage imod request på port 80, så man slipper for at angives
>portnummer i browseren.
>
>Grunden til at jeg ikke ændrer i tomcat konfigurationen for at køre på port
>80, er af sikkerheds mæssige grunde.

Du ønsker altså at trafik der modtages på port 80, skal redirectes til
din tomcat server der kører på port 8180.

>Da alle services der kører under port <1024 skal have root retigheder.
>Efter hvad jeg har læst på nettet, er det mest hensigtmæssig at bruge
>iptables, til at løse problemet.

Eller at bruge en fornuftig server der kan finde ud af at skifte til en
anden bruger-id så snart den har åbnet porten.

>:INPUT DROP [2:132]
>:FORWARD DROP [3:3932]
>:OUTPUT ACCEPT [154:129466]
>:block - [0:0]
>-A INPUT -i lo -j ACCEPT
>-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
>-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT

Du skal også åbne for indgående trafik på port 80, ellers bliver det
blokeret inden det når at blive redirected til port 8180.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

Hej Kent,

> Du skal også åbne for indgående trafik på port 80, ellers bliver det
> blokeret inden det når at blive redirected til port 8180

Tusind tak for dit indlæg, det løste mit problem at åbne port 80.
Men havde også glemt at portforwarde interne net kort,

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8180
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8180

det var derfor jeg ikke kunne teste ordentligt før

> Eller at bruge en fornuftig server der kan finde ud af at skifte til en
> anden bruger-id så snart den har åbnet porten.

Ja kunne selvfølgelig lede efter en anden server end tomcat.
Det smarte er dog at den kan køre sammen med apache, og PHP, hvis man senere
skal bruge dette.

---

Lige en ekstra kommentar til min sidste post

> -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8180

den ødelægger nat, så jeg ikke kan surfe. Derfor kører jeg nu uden, men det
er ligemeget eftersom connections
udefra kommer ind på port 80 via eth0

---

"Anders Nørgaard" wrote:
>
> Lige en ekstra kommentar til min sidste post
>
> > -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8180
>
> den ødelægger nat, så jeg ikke kan surfe. Derfor kører jeg nu uden, men det
> er ligemeget eftersom connections
> udefra kommer ind på port 80 via eth0

Du burde nok matche på destinations IP adressen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

> Du burde nok matche på destinations IP adressen.
>

Takker ja selvfølgelig, så virker det med

iptables -t nat -A PREROUTING -p tcp -d $EXTIP --dport 80 -j
REDIRECT --to-port 8180


både inde fra ud udefra

---

Kent Friis wrote:
>
> Eller at bruge en fornuftig server der kan finde ud af at skifte til en
> anden bruger-id så snart den har åbnet porten.

den slags services er forresten nemme at lave, hvis man bruger xinetd.
(Som forresten også kan lave port forwarding på en lidt anden måde end
med iptables.)

>
> >:INPUT DROP [2:132]
> >:FORWARD DROP [3:3932]
> >:OUTPUT ACCEPT [154:129466]
> >:block - [0:0]
> >-A INPUT -i lo -j ACCEPT
> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
>
> Du skal også åbne for indgående trafik på port 80, ellers bliver det
> blokeret inden det når at blive redirected til port 8180.

Det må da være omvendt. Pakkerne kommer i nat PREROUTING kæden før de
kommer i filter INPUT kæden. Så det er pakker til 8180, der skal
accepteres i INPUT.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Den Wed, 30 Apr 2003 20:38:37 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Eller at bruge en fornuftig server der kan finde ud af at skifte til en
>> anden bruger-id så snart den har åbnet porten.
>
>den slags services er forresten nemme at lave, hvis man bruger xinetd.
>(Som forresten også kan lave port forwarding på en lidt anden måde end
>med iptables.)
>
>>
>> >:INPUT DROP [2:132]
>> >:FORWARD DROP [3:3932]
>> >:OUTPUT ACCEPT [154:129466]
>> >:block - [0:0]
>> >-A INPUT -i lo -j ACCEPT
>> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
>> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
>>
>> Du skal også åbne for indgående trafik på port 80, ellers bliver det
>> blokeret inden det når at blive redirected til port 8180.
>
>Det må da være omvendt. Pakkerne kommer i nat PREROUTING kæden før de
>kommer i filter INPUT kæden. Så det er pakker til 8180, der skal
>accepteres i INPUT.

Er du sikker på det?

Iøvrigt havde han som du kan se allerede port 8180, men først da han
åbnede for 80, virkede det.

Mvh
Kent
--
Motion: andet ord for "ondt i fødderne".

---

Den Wed, 30 Apr 2003 21:15:59 +0000 (UTC) skrev Kent Friis:
>Den Wed, 30 Apr 2003 20:38:37 +0200 skrev Kasper Dupont:
>>Kent Friis wrote:
>>>
>>> Eller at bruge en fornuftig server der kan finde ud af at skifte til en
>>> anden bruger-id så snart den har åbnet porten.
>>
>>den slags services er forresten nemme at lave, hvis man bruger xinetd.
>>(Som forresten også kan lave port forwarding på en lidt anden måde end
>>med iptables.)
>>
>>>
>>> >:INPUT DROP [2:132]
>>> >:FORWARD DROP [3:3932]
>>> >:OUTPUT ACCEPT [154:129466]
>>> >:block - [0:0]
>>> >-A INPUT -i lo -j ACCEPT
>>> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
>>> >-A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
>>>
>>> Du skal også åbne for indgående trafik på port 80, ellers bliver det
>>> blokeret inden det når at blive redirected til port 8180.
>>
>>Det må da være omvendt. Pakkerne kommer i nat PREROUTING kæden før de
>>kommer i filter INPUT kæden. Så det er pakker til 8180, der skal
>>accepteres i INPUT.
>
>Er du sikker på det?

Og det var du så åbenbart, nu har jeg fået checket dokumentationen, og
den er enig med dig.

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

---

"Anders Nørgaard" wrote:
>
> *nat
> :PREROUTING ACCEPT [10687:601731]
> :POSTROUTING ACCEPT [509:77385]
> :OUTPUT ACCEPT [870:140368]
> -A PREROUTING -d 192.168.0.2 -i eth0 -p udp -m udp --dport 701

Det er da en underlig regel. Hvad I alverden gør en regel uden target?

> -A PREROUTING -i eth0 -p tcp -m tcp --dport 8180 -j REDIRECT --to-ports 80

Du skal bytte om på portnumrene for at opnå den efterspurgte virkning.
Og hvorfor matcher du på interface? Jeg går ud fra, at du vil have den
redirection uafhængigt af input interface. Men til gengæld kan jeg
forestille mig situationer, hvor du meget gerne vil sikre, at den kun
virker på pakker med deres endelige destination på maskinen, du ønsker
ikke, at den får indvirkning på forwardede pakker. Hvordan har du
forresten testet reglen, dens virkning afhænger jo af, hvorfra den
bliver testet.

> -A POSTROUTING -o eth0 -j SNAT --to-source 195.215.90.xx

Hvorfor sætter du x'er i reglen? Vi kan jo alligevel nemt se, hvad din
IP adresse er.

> -A INPUT -i lo -j ACCEPT
> -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
> -A INPUT -j block

Jeg kunne godt nævne et par ting jeg gør anderledes i min INPUT kæde,
men ikke noget der relaterer til problemet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Hej kasper,

> > -A PREROUTING -d 192.168.0.2 -i eth0 -p udp -m udp --dport 701
> Det er da en underlig regel. Hvad I alverden gør en regel uden target?

Denne regel er enig en gammel regel, som jeg for lang tid siden prøvede
at¨få til at virke.
Ja det er lidt sjov at jeg ikke har fået modificeret den endnu

> > -A PREROUTING -i eth0 -p tcp -m tcp --dport 8180 -j REDIRECT --to-ports
80
>
> Du skal bytte om på portnumrene for at opnå den efterspurgte virkning.
> Og hvorfor matcher du på interface? Jeg går ud fra, at du vil have den
> redirection uafhængigt af input interface. Men til gengæld kan jeg
> forestille mig situationer, hvor du meget gerne vil sikre, at den kun
> virker på pakker med deres endelige destination på maskinen, du ønsker
> ikke, at den får indvirkning på forwardede pakker. Hvordan har du
> forresten testet reglen, dens virkning afhænger jo af, hvorfra den
> bliver testet.

Rigtigt, jo det er bøvlet at matche på interface.
Kunne også godt tænke mig en løsning uden. Kan også kun få det til at virke
udefra og ikke indefra. dvs
jeg kan godt få det til at virke indefra, men reglen nat, og jeg kan ikke
surfe (:-.


> Du skal bytte om på portnumrene for at opnå den efterspurgte virkning.

Det virker nu med følgende:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j
REDIRECT --to-port 8180
men ja, det virker logisk at forwarde 8180 til 80 giver dig ret..!

har taget udgangs punkt, i et eksempel fra:
http://www.braindump.dk/dk/wiki/?wikipage=IpTables
# omdirriger al webtrafik til en transparent proxy på 10.0.0.2
iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT \
--to-destination 10.0.0.2:3128


>Hvordan har du
> forresten testet reglen, dens virkning afhænger jo af, hvorfra den
> bliver testet.

Tester reglen både udefra og indefra. Udefra gennem en x-server over ssh..!


> > -A POSTROUTING -o eth0 -j SNAT --to-source 195.215.90.xx
>
> Hvorfor sætter du x'er i reglen? Vi kan jo alligevel nemt se, hvad din
> IP adresse er.

ja det ved godt, tænkte også på at lade være. Men der vel ingen grund til at
skildte med det, Det
kunne jo være der sad en lille newbe "script-kiddie "derude
eller hvordan det nu staves.

> > -A INPUT -i lo -j ACCEPT
> > -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
> > -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
> > -A INPUT -j block
>
> Jeg kunne godt nævne et par ting jeg gør anderledes i min INPUT kæde,
> men ikke noget der relaterer til problemet.

Gode råd er da altid rare
Men hvis du hentyder til at rejecte interne nummer fra det eksterne kort, så
burde jeg nok tilføje denne regel.
Dog vil min ikke få noget ud af at spoofe ind på mit netværk.

---

sorey det skulle stå:

Kan kun få det til at virke udefra og ikke indefra. dvs jeg kan godt få det
til at virke indefra, men så virker nat ikke, og jeg kan ikke
surfe (:-.

---

"Anders Nørgaard" wrote:
>
> > > -A INPUT -i lo -j ACCEPT
> > > -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 22 -j ACCEPT
> > > -A INPUT -d 195.215.90.xx -p tcp -m tcp --dport 8180 -j ACCEPT
> > > -A INPUT -j block
> >
> > Jeg kunne godt nævne et par ting jeg gør anderledes i min INPUT kæde,
> > men ikke noget der relaterer til problemet.
>
> Gode råd er da altid rare

Her er min INPUT kæde:

-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j LOGDROP
-A INPUT -d 127.0.0.0/8 -j LOGDROP
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -j LOGDROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -j TCPINPUT
-A INPUT -p udp -j UDPINPUT
-A INPUT -m limit --limit 79/minute --limit-burst 4 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.100.1 -d 224.0.0.1 -j DROP
-A INPUT -j LOGDROP

Som det ses har jeg et par brugerdefinerede kæder, og
jeg har forsøgt at holde de mest brugte regler tidligt
i et forsøg på at opnå den bedst mulige performance.
Specielt er min state matching før alle matching af
portnumre.

Jeg deler TCP og UDP pakker op i to kæder, primært
fordi jeg har så mange regler og gerne vil have lidt
system i dem. Desuden giver det nok en bedre performance
på den måde, hvis man har mere end en håndfuld regler
i hver af kæderne.

Jeg undgår så vidt muligt at undgå DROP til TCP pakker
og forsøger i stedet at bruge tcp-reset. Man kan dog
sætte et rate limit på for at begrænse effekten af
flooding og så anvende DROP til resten. Her er et par
kæder, jeg anvender til formålet:

-A LOGREJECT -m limit --limit 1/minute --limit-burst 42 -j LOG --log-prefix "iptables REJECT: "
-A LOGREJECT -p tcp -j REJECT --reject-with tcp-reset
-A LOGREJECT -p udp -j REJECT --reject-with icmp-port-unreachable
-A LOGREJECT -j REJECT --reject-with icmp-host-unreachable

-A SLOWLOGREJECT -m limit --limit 15/minute --limit-burst 10 -j LOGREJECT
-A SLOWLOGREJECT -j LOGDROP

Min UDP input kæde indeholder en enkelt regel som har
til formål at få traceroute til at virke:

-A UDPINPUT -p udp -m udp --sport 1024:65535 --dport 1024:65535 -j SLOWLOGREJECT

Man kunne selvfølgelig bruge icmp-port-unreachable
til alle uønskede UDP pakker, men man overtræder mig
bekendt ingen standarder ved at droppe dem. Der er jo
ingen krav om, at en UDP service, som modtager
pakkerne, faktisk skal svare.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);