|
| iptables routings Fra : Morten P |
Dato : 01-09-09 09:54 |
|
Jeg har følgende setup:
router i bridge mode
->
switch
->
Computere
->
- Linux (192.168.1.10)
- XP (192.168.1.11)
Jeg vil gerne udefra kunne tilgå denne XP udefra via Remote Desktop.
Dette skal ske igennem en tunnel til Linux, som så skal forwarde alle
pakkerne på den given port til XP.
Dette ville være trivielt hvis XP sad i et netkort i Linux.
Så var det blot at preroute alt på port x til IP y.
Men nu er de så på samme switch.
Har man nogle muligheder der?
| |
Klaus Ellegaard (01-09-2009)
| Kommentar Fra : Klaus Ellegaard |
Dato : 01-09-09 11:25 |
|
"Morten P" <spam@spam.spam> writes:
>Men nu er de så på samme switch.
>Har man nogle muligheder der?
Nope.
IP-stakken vil lave ICMP redirects, fordi det er den Eneste(tm)
Rigtige(tm) Måde(tm) set med IPs øjne.
Løsningen må være et netkort mere i Linux-boksen og så XP'en ind
på det.
Mvh.
Klaus.
| |
Leif Neland (01-09-2009)
| Kommentar Fra : Leif Neland |
Dato : 01-09-09 18:27 |
|
Klaus Ellegaard skrev:
> "Morten P" <spam@spam.spam> writes:
>
>> Men nu er de så på samme switch.
>
>> Har man nogle muligheder der?
>
> Nope.
>
> IP-stakken vil lave ICMP redirects, fordi det er den Eneste(tm)
> Rigtige(tm) Måde(tm) set med IPs øjne.
>
> Løsningen må være et netkort mere i Linux-boksen og så XP'en ind
> på det.
>
Vil man ikke kunne give Linux-boxen en ekstra ip-adresse i en anden
ip-range, og flytte XP'en til samme range?
Og blot lade Linux'en forwarde imellem to adresser på samme kort, i
stedet for imellem to adresser på to kort i samme maskine?
Leif
| |
Asbjorn Hojmark (01-09-2009)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-09-09 11:58 |
|
On Tue, 1 Sep 2009 10:54:22 +0200, "Morten P" <spam@spam.spam> wrote:
> Jeg vil gerne udefra kunne tilgå denne XP udefra via Remote Desktop.
> Dette skal ske igennem en tunnel til Linux, som så skal forwarde alle
> pakkerne på den given port til XP.
Hvis du kan source-NAT'e RDP-trafikken, så XP-maskinen ser det, som om
det kommer fra Linux-maskinen, vil det virke.
-A
--
http://www.hojmark.org/
| |
Kent Friis (01-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 01-09-09 15:54 |
|
Den Tue, 1 Sep 2009 10:54:22 +0200 skrev Morten P:
> Jeg har følgende setup:
>
>
> router i bridge mode
> ->
> switch
> ->
> Computere
> ->
> - Linux (192.168.1.10)
> - XP (192.168.1.11)
Det hænger ikke sammen. Du kan ikke bridge fra internettet til et
192.168-net. Der skal være en NAT-router imellem.
(Ok, du skrev reelt ikke noget om internettet, men det er vel
næsten underforstået nutildags. Hvis ikke det er internettet, hvad
har du så på den anden side?).
> Jeg vil gerne udefra kunne tilgå denne XP udefra via Remote Desktop.
> Dette skal ske igennem en tunnel til Linux, som så skal forwarde alle
> pakkerne på den given port til XP.
>
> Dette ville være trivielt hvis XP sad i et netkort i Linux.
> Så var det blot at preroute alt på port x til IP y.
>
> Men nu er de så på samme switch.
>
> Har man nogle muligheder der?
Måske, det kommer an på hvordan dit setup reelt er.
Hvis det er en standard Cybercity løsning, med 192.168.1.10 sat som
"default server", skulle det nok være muligt.
Mvh
Kent
--
"The Brothers are History"
| |
Morten P (01-09-2009)
| Kommentar Fra : Morten P |
Dato : 01-09-09 21:05 |
|
> Det hænger ikke sammen. Du kan ikke bridge fra internettet til et
> 192.168-net. Der skal være en NAT-router imellem.
Doh! - jeg er fuld.
Jeg lavede jo mit setup om!
Cybercity routeren uddeler IP'er til både Linux og XP igennem en switch.
>> Men nu er de så på samme switch.
>>
>> Har man nogle muligheder der?
>
> Måske, det kommer an på hvordan dit setup reelt er.
>
> Hvis det er en standard Cybercity løsning, med 192.168.1.10 sat som
> "default server", skulle det nok være muligt.
Sådan som Leif Neland foreslår eller?
| |
Kent Friis (01-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 01-09-09 21:13 |
|
Den Tue, 1 Sep 2009 22:04:38 +0200 skrev Morten P:
>> Det hænger ikke sammen. Du kan ikke bridge fra internettet til et
>> 192.168-net. Der skal være en NAT-router imellem.
>
> Doh! - jeg er fuld.
> Jeg lavede jo mit setup om!
>
>
> Cybercity routeren uddeler IP'er til både Linux og XP igennem en switch.
Og Linux'en er "default server"?
>>> Men nu er de så på samme switch.
>>>
>>> Har man nogle muligheder der?
>>
>> Måske, det kommer an på hvordan dit setup reelt er.
>>
>> Hvis det er en standard Cybercity løsning, med 192.168.1.10 sat som
>> "default server", skulle det nok være muligt.
>
> Sådan som Leif Neland foreslår eller?
Asbjørns forslag skulle være nok.
DNAT til Windows-maskinen + SNAT til at sætte Linux'en som afsender på
de pakker der bliver sendt videre til Windows-maskine, for at få retur-
trafikken tilbage gennem Linux'en, så den kan sende svaret den rigtige
vej tilbage.
Men er der nogen speciel grund til at du ikke gør det i routeren? Du
kan godt (i hvert fald i den jeg har) tilføje forwarding på enkelte
porte til Windows-maskinen, selvom "default server" er sat til
Linux'ens IP.
Mvh
Kent
--
"The Brothers are History"
| |
Morten P (01-09-2009)
| Kommentar Fra : Morten P |
Dato : 01-09-09 21:45 |
|
> Og Linux'en er "default server"?
Nemlig.
> DNAT til Windows-maskinen + SNAT til at sætte Linux'en som afsender på
> de pakker der bliver sendt videre til Windows-maskine, for at få retur-
> trafikken tilbage gennem Linux'en, så den kan sende svaret den rigtige
> vej tilbage.
Deal - Den er jeg med på.
> Men er der nogen speciel grund til at du ikke gør det i routeren? Du
> kan godt (i hvert fald i den jeg har) tilføje forwarding på enkelte
> porte til Windows-maskinen, selvom "default server" er sat til
> Linux'ens IP.
Ja, jeg er ofte steder hvor jeg skal igennem en anden Linux for at komme ud
på sjove porte.
Der sætter man jo normalt en lokal tunnel op til den og lader den tunnele
videre til min normale Linux.
Derfor praktisk om Linux kunne sende de pakker til Windows kassen videre til
Windows.
Og det ser jo ud til at kunne lade sig gøre
Det skal i hvertfald have et forsøg!
| |
Kent Friis (02-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 02-09-09 17:32 |
|
Den Tue, 1 Sep 2009 22:45:02 +0200 skrev Morten P:
>> Og Linux'en er "default server"?
>
> Nemlig.
>
>> DNAT til Windows-maskinen + SNAT til at sætte Linux'en som afsender på
>> de pakker der bliver sendt videre til Windows-maskine, for at få retur-
>> trafikken tilbage gennem Linux'en, så den kan sende svaret den rigtige
>> vej tilbage.
>
> Deal - Den er jeg med på.
>
>
>> Men er der nogen speciel grund til at du ikke gør det i routeren? Du
>> kan godt (i hvert fald i den jeg har) tilføje forwarding på enkelte
>> porte til Windows-maskinen, selvom "default server" er sat til
>> Linux'ens IP.
>
> Ja, jeg er ofte steder hvor jeg skal igennem en anden Linux for at komme ud
> på sjove porte.
> Der sætter man jo normalt en lokal tunnel op til den og lader den tunnele
> videre til min normale Linux.
Så er det ikke iptables du skal bruge, så skal du have fat i en ganske
alm. ssh-tunnel.
iptables giver det samme som at forwarde i routeren, bortset fra lidt
ekstra opsætning og et ekstra hop, fordi trafikken skal forbi linux-
maskinen.
Mvh
Kent
--
"The Brothers are History"
| |
Morten P (05-09-2009)
| Kommentar Fra : Morten P |
Dato : 05-09-09 21:09 |
|
>> Ja, jeg er ofte steder hvor jeg skal igennem en anden Linux for at komme
>> ud
>> på sjove porte.
>> Der sætter man jo normalt en lokal tunnel op til den og lader den tunnele
>> videre til min normale Linux.
>
> Så er det ikke iptables du skal bruge, så skal du have fat i en ganske
> alm. ssh-tunnel.
Aha - den kan jeg ikke gennemskue.
CC router forwarder al trafik på ikke-mappede porte til Linux.
Jeg kunne godt mappe port x til Windows, men vil det så ikke være krypteret
trafik der kommer fra tunnellen til den?
Laptop -> Gateway -> CC router -> XP
Er det så ikke sådan en opsætning i Putty:
Local port: 3389
Destination: localhost:5000
SSH til gateway igennem Putty.
Nu er der så en tunnel fra min laptop til gateway.
Men det er jo ikke den der har RDP på, så derfra skal det videre til
CC-Router.
Hvad gør man der?
Jeg kan jo ikke opsætte en tunnel videre derfra ved ssh -L da CC router jo
ikke kan tage imod den.
Hvad misser jeg?
| |
Kent Friis (05-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 05-09-09 22:44 |
|
Den Sat, 5 Sep 2009 22:08:52 +0200 skrev Morten P:
>>> Ja, jeg er ofte steder hvor jeg skal igennem en anden Linux for at komme
>>> ud
>>> på sjove porte.
>>> Der sætter man jo normalt en lokal tunnel op til den og lader den tunnele
>>> videre til min normale Linux.
>>
>> Så er det ikke iptables du skal bruge, så skal du have fat i en ganske
>> alm. ssh-tunnel.
>
>
> Aha - den kan jeg ikke gennemskue.
>
> CC router forwarder al trafik på ikke-mappede porte til Linux.
> Jeg kunne godt mappe port x til Windows, men vil det så ikke være krypteret
> trafik der kommer fra tunnellen til den?
>
> Laptop -> Gateway -> CC router -> XP
Mener du:
Laptop -> Gateway -> internet -> CC router -> XP?
> Er det så ikke sådan en opsætning i Putty:
>
> Local port: 3389
> Destination: localhost:5000
>
> SSH til gateway igennem Putty.
>
> Nu er der så en tunnel fra min laptop til gateway.
> Men det er jo ikke den der har RDP på, så derfra skal det videre til
> CC-Router.
Kræver gateway at du ssh'er til den?
> Hvad gør man der?
> Jeg kan jo ikke opsætte en tunnel videre derfra ved ssh -L da CC router jo
> ikke kan tage imod den.
>
> Hvad misser jeg?
Kan du ssh til din Linux?
Hvis du kan det, kan du forwarde RDP igennem tunnelen til Windows-maskinen
bag samme CC-router.
Hvis du bruger SSH til gateway, og så kører ukrypteret RDP derfra, kan
du bare forwarde RDP-porten til Windows-maskinen på CC-routeren.
Teknisk set kan man også forwarde SSH igennem en SSH-tunnel, med RDP
igennem den inderste SSH, men det bliver nok lige en tand for komplekst.
Mvh
Kent
--
"The Brothers are History"
| |
Morten P (06-09-2009)
| Kommentar Fra : Morten P |
Dato : 06-09-09 05:59 |
|
> Mener du:
> Laptop -> Gateway -> internet -> CC router -> XP?
Ja
> Kræver gateway at du ssh'er til den?
Det vil jeg tro.
> Kan du ssh til din Linux?
Ja igennem gatewayen.
> Hvis du kan det, kan du forwarde RDP igennem tunnelen til Windows-maskinen
> bag samme CC-router.
Hvordan gør man det?
> Hvis du bruger SSH til gateway, og så kører ukrypteret RDP derfra, kan
> du bare forwarde RDP-porten til Windows-maskinen på CC-routeren.
Eller denne løsning, som jeg dog heller ikke forstår hvordan man sætter op
| |
Kent Friis (06-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 06-09-09 08:20 |
|
Den Sun, 6 Sep 2009 06:59:17 +0200 skrev Morten P:
>> Mener du:
>> Laptop -> Gateway -> internet -> CC router -> XP?
>
> Ja
>
>
>> Kræver gateway at du ssh'er til den?
>
> Det vil jeg tro.
>
>
>> Kan du ssh til din Linux?
>
> Ja igennem gatewayen.
Hvordan "igennem"?
>> Hvis du kan det, kan du forwarde RDP igennem tunnelen til Windows-maskinen
>> bag samme CC-router.
>
> Hvordan gør man det?
ssh -L 3389:windowsIP:3389 linuxIP
>> Hvis du bruger SSH til gateway, og så kører ukrypteret RDP derfra, kan
>> du bare forwarde RDP-porten til Windows-maskinen på CC-routeren.
>
> Eller denne løsning, som jeg dog heller ikke forstår hvordan man sætter op
>
På CC-routeren forwarder du 3389 til Windows-maskinen. Og så er det
ssh -L 3389:CC-routerIP:3389 gateway
Mvh
Kent
--
"The Brothers are History"
| |
Kent Friis (06-09-2009)
| Kommentar Fra : Kent Friis |
Dato : 06-09-09 08:29 |
|
Den 06 Sep 2009 07:20:29 GMT skrev Kent Friis:
> Den Sun, 6 Sep 2009 06:59:17 +0200 skrev Morten P:
>>> Mener du:
>>> Laptop -> Gateway -> internet -> CC router -> XP?
>>
>> Ja
>>
>>
>>> Kræver gateway at du ssh'er til den?
>>
>> Det vil jeg tro.
>>
>>
>>> Kan du ssh til din Linux?
>>
>> Ja igennem gatewayen.
>
> Hvordan "igennem"?
>
>>> Hvis du kan det, kan du forwarde RDP igennem tunnelen til Windows-maskinen
>>> bag samme CC-router.
>>
>> Hvordan gør man det?
>
> ssh -L 3389:windowsIP:3389 linuxIP
>
>>> Hvis du bruger SSH til gateway, og så kører ukrypteret RDP derfra, kan
>>> du bare forwarde RDP-porten til Windows-maskinen på CC-routeren.
>>
>> Eller denne løsning, som jeg dog heller ikke forstår hvordan man sætter op
>>
>
> På CC-routeren forwarder du 3389 til Windows-maskinen. Og så er det
>
> ssh -L 3389:CC-routerIP:3389 gateway
Begge dele er iøvrigt fra den PC du sidder ved. Hvis du bruger putty,
må du selv oversætte kommandoen (jeg har ikke en putty på linux'en, så
jeg kan ikke lige kige hvad de hedder, men jeg mener det er stort set
det samme).
Hvis jeg helt har misforstået, og du skal ssh fra gateway'en til din
Linux, kan du på gateway'en gøre:
ssh -L "*:3389:windowsIP:3389" linuxIP.
Og så vælge gateway som remote host til fjernskrivebord.
Hvor der står "linuxIP" i ovenstående, er det den IP du bruger for at
kunne SSH til linux'en. Det er nok CC-routerens IP.
Hvor der står windowsIP er det Windows-maskinens interne IP.
Mvh
Kent
--
"The Brothers are History"
| |
Morten P (06-09-2009)
| Kommentar Fra : Morten P |
Dato : 06-09-09 15:04 |
|
> Hvis jeg helt har misforstået, og du skal ssh fra gateway'en til din
> Linux, kan du på gateway'en gøre:
>
> ssh -L "*:3389:windowsIP:3389" linuxIP.
>
> Og så vælge gateway som remote host til fjernskrivebord.
>
> Hvor der står "linuxIP" i ovenstående, er det den IP du bruger for at
> kunne SSH til linux'en. Det er nok CC-routerens IP.
>
> Hvor der står windowsIP er det Windows-maskinens interne IP.
Det ser meget lovende ud og præcis som det der skal til
Det tester jeg!
Mange tak!
| |
Morten Guldager (01-09-2009)
| Kommentar Fra : Morten Guldager |
Dato : 01-09-09 20:45 |
|
2009-09-01 Morten P wrote
> Jeg har følgende setup:
>
>
> router i bridge mode
> ->
> switch
> ->
> Computere
> ->
> - Linux (192.168.1.10)
> - XP (192.168.1.11)
>
> Jeg vil gerne udefra kunne tilgå denne XP udefra via Remote Desktop.
> Dette skal ske igennem en tunnel til Linux, som så skal forwarde alle
> pakkerne på den given port til XP.
>
> Dette ville være trivielt hvis XP sad i et netkort i Linux.
> Så var det blot at preroute alt på port x til IP y.
>
> Men nu er de så på samme switch.
>
> Har man nogle muligheder der?
Det er lidt sort det du skriver, synes jeg.
Men hvilken slags tunnel vil du gerne lave?
Selv gør jeg vist noget i samme stil, der bruger jeg en SSH tunnel.
Kan det bruges?
/Morten
| |
|
|