Home Nach oben Service Kontaktinformation Neu Inhalt 

Logo EI Systems, Keltenring 210, 79199 Kirchzarten (bei Freiburg), Deutschland Tel. 07661 90 83 90: Ihr kompetenter Partner in Sachen EDV: Netzwerkbetreuung, Datenbankprogrammierung, Sicherheit

Fernwartung: Ein wichtiges Tool für effizienten Support: Hier Herunterladen Keine Installation, keine Spy- Ad- oder Malware. Dank dem Team von Ultr@VNC

Es wird jetzt auch Vista und Win 7 unterstützt.

HowTo:

iptables: 

Port-Forwarding (am Beispiel Ultr@VNC):

In a nutshell: iptables halbwegs restriktiv eingestellt, also Standardpolicy für die INPUT und FORWARD chain ist DROP, für die Fernwartung nur bestimmten IP-Bereich durchlassen:

IPT=/sbin/iptables
INT=eth0
EXT=ppp+
echo "1" > /proc/sys/net/ipv4/ip_forward    (dies erlaubt das routing zwischen verschiedenen Netzwerkkarten...)
# Kein IP Spoofing:
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
$IPT -F                    (evtl. vorhandene Regeln aus den Standard-Tabellen löschen)
$IPT -X                    (selbstdefinierte Regeln löschen, siehe man iptables)
$IPT -P INPUT DROP       (wenn keine andere Regel zutrifft, eingehende Pakete ignorieren)
$IPT -P OUTPUT ACCEPT    (den Router verlassende Pakete standardmäßig erlauben)
$IPT -P FORWARD DROP    (standardmäßig keine Pakete zwischen den Netzen weiterleiten)
#DSL-Problem mit MTU 1500
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
$IPT -I OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Port-Forwarding erlauben (hier am Beispiel VNC-Server):

$IPT -A FORWARD -i $EXT -p tcp --dport 5900 -s 80.131.0.0/16 -d 192.168.123.10 -j ACCEPT


Port-Forwarding durchführen (muß passieren, bevor (PREROUTING) weitere Regeln zur Anwendung kommen, damit z.B. die richtige interne IP gesetzt werden kann:

$IPT -t nat -A PREROUTING -p tcp --dport 5900 -s 80.131.0.0/16 -j DNAT --to 192.168.123.10

SSH-Tunnel erlauben:

$IPT -A INPUT -i $EXT -p tcp --dport 22 -j ACCEPT

Masqueradeing:

Funktioniert nur, nachdem ausgewertet wurde, wohin das Paket geschickt werden muß, daher in der POSTROUTING chain. Hier werden üblicherweise alle internen IP-Adressen auf die öffentliche IP-Adresse des Routers gesetzt :

$IPT -t nat -A POSTROUTING -o $EXT -j MASQUERADE

weitere Hilfen zu iptables: http://netfilter.org 

Senden Sie E-Mails mit Fragen oder Kommentaren zu dieser Website an: Webmaster

Der Nutzung der Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen.
Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.
Stand: 10. Februar 2011