iptables als Proxy

Question

Dies sollte relativ trivial sein; für SSH sollte so etwas ausreichen:

iptables -t nat -A PREROUTING -p tcp \  
  -i ppp0 --dport 22 \  
  -j DNAT   \
  --to-destination 10.10.10.10:22

Annahme: Die externe Schnittstelle von R ist ppp0. Das ist die eingehende Schnittstelle, auf die die Regel angewendet werden soll.

Annahme: Die IP-Adresse von S ist 10.10.10.10 – natürlich durch die richtige ersetzen.

Dabei handelt es sich um „Ziel-NAT“; im Grunde dasselbe wie „normales NAT“, nur dass die Zieladresse durch die des internen Servers ersetzt wird und dies auf dem Rückweg rückgängig gemacht wird. Um dies zu verwenden, müssen Sie auf X lediglich den SSHD auf S ausführen, ssh Ranstatt ssh Smit diesem verbunden zu sein (dies funktioniert nur, wenn X derzeitnichtim Internet, sondern in Ihrem internen Netzwerk; Sie müssen auch SNAT ausführen - "normal" oder Source NAT -, damit die Antworten von S über R gesendet werden, und Sie müssen die Regel von "-i ppp0" in "-d <externe Adresse von R>", damit es übereinstimmt, wenn die Pakete von innen empfangen werden, nicht nur von außen; wie Sie sehen, wird es ein bisschen haarig).

Notiz:Das kann man natürlich auch für alle anderen Ports machen, aber ich würdewirklich starkIch rate davon ab, Samba (Windows-Freigabe) oder unverschlüsseltes HTTP freizugeben (es sei denn, es handelt sich ohnehin um öffentliche, nicht authentifizierte Inhalte). Oder irgendetwas anderes. Sie sind, wo immer möglich, nicht trivial zu sichern, daher wird Ihnen das Huckepacknehmen auf die Portweiterleitung von SSH viele Kopfschmerzen ersparen.

Allerdings ist die Samba-Weiterleitung umständlich, daher solltest du am besten versuchen, ganz darauf zu verzichten.

Answer 1

Dies sollte relativ trivial sein; für SSH sollte so etwas ausreichen:

iptables -t nat -A PREROUTING -p tcp \  
  -i ppp0 --dport 22 \  
  -j DNAT   \
  --to-destination 10.10.10.10:22

Annahme: Die externe Schnittstelle von R ist ppp0. Das ist die eingehende Schnittstelle, auf die die Regel angewendet werden soll.

Annahme: Die IP-Adresse von S ist 10.10.10.10 – natürlich durch die richtige ersetzen.

Dabei handelt es sich um „Ziel-NAT“; im Grunde dasselbe wie „normales NAT“, nur dass die Zieladresse durch die des internen Servers ersetzt wird und dies auf dem Rückweg rückgängig gemacht wird. Um dies zu verwenden, müssen Sie auf X lediglich den SSHD auf S ausführen, ssh Ranstatt ssh Smit diesem verbunden zu sein (dies funktioniert nur, wenn X derzeitnichtim Internet, sondern in Ihrem internen Netzwerk; Sie müssen auch SNAT ausführen - "normal" oder Source NAT -, damit die Antworten von S über R gesendet werden, und Sie müssen die Regel von "-i ppp0" in "-d <externe Adresse von R>", damit es übereinstimmt, wenn die Pakete von innen empfangen werden, nicht nur von außen; wie Sie sehen, wird es ein bisschen haarig).

Notiz:Das kann man natürlich auch für alle anderen Ports machen, aber ich würdewirklich starkIch rate davon ab, Samba (Windows-Freigabe) oder unverschlüsseltes HTTP freizugeben (es sei denn, es handelt sich ohnehin um öffentliche, nicht authentifizierte Inhalte). Oder irgendetwas anderes. Sie sind, wo immer möglich, nicht trivial zu sichern, daher wird Ihnen das Huckepacknehmen auf die Portweiterleitung von SSH viele Kopfschmerzen ersparen.

Allerdings ist die Samba-Weiterleitung umständlich, daher solltest du am besten versuchen, ganz darauf zu verzichten.

iptables als Proxy

Antwort1

verwandte Informationen