Iptables und VNC

[hkt]

Baue mir gerade einen Router mit Squid auf(Suse 8.2). Über den sollen alle Clients ins Internet. Außerdem soll über außen (Internet) ein Rechner über VNC auf einen bestimmten Rechner ins Netz zugreifen können.(Habe feste IP) Alle Clients können ins Internet. Nur der VNC Zugriff klappt nicht so ganz. Wenn ich nun den Port 5900 freigebe und dann über nmap einen Portscan mache ist dieser geschlossen!

iptables -A INPUT -i ppp0 -p tcp --dport 5900 -j ACCEPT

Dann wird noch eine Weiterleitung auf den Rechner gemacht

iptables -A PREROUTING -t nat -i ppp0 -p TCP --sport 5900 -j DNAT --to x.x.1.75

Was ist daran falsch? Wieso zeigt nmap mir an das der Port geschlossen ist!
Vielen Dank im vorraus

 

[Martin Breidenbach]

iptables -A INPUT -i ppp0 -p tcp --dport 5900 -j ACCEPT

Das soll doch auf einen *ANDEREN* Rechner umgeleitet werden. Dann muß das auch eine FORWARD Regel sein.

 

[hkt]

Ja gut ist schon richtig! Habe beides probiert! Was ich nicht verstehe ist das nmap mir nicht anzeigt das der Port nicht offen ist. Woran kann das denn liegen? Und warum leietet der Router nicht das weiter? Muss man was bei Squid einstellen?

 

[Martin Breidenbach]

Squid hat damit gar nichts zu tun. Das muß durchgeroutet werden.

Läuft der VNC denn auch auf Port 5900 ?

(Eine iptables-Regel die Antwortpakete rausläßt muß es natürlich auch geben)

 

[hkt]

Ja VNC läuft auf Port 5900. Wie sieht denn die iptables regel für die Antwortpakete aus?

 

[Martin Breidenbach]

naja... zum Beispiel

iptables -A FORWARD -o ppp0 -j ACCEPT

läßt alle Pakete die raus wollen raus. Das kann man je nach Sicherheitsphilosophie verschärfen/einschränken.

 

[canis_lupus]

Ganz sicher, das Du in der DNAT-Regel --sport und nicht --dport meinst?

 

[Martin Breidenbach]

Das ist mir ja gar nicht aufgefallen - da muß natürlich der Zielport verbogen werden.