iptables - přesměrování komunikace - "SSH tunneling" [vyřešeno]

[DuckD]

zdar!
chtěl bych se z internetu dostat na webové rozhraní domácího ADSL routeru přes kompa umístěného ve vnitřní síti.
pc <==> (wan) ADSL (lan) <==> (eth0) ubuntu
Přes ADSLko mám forwardovanej port 80 a 22 na ubuntu.
Chtěl bych na ubuntu port 80 přesměrovat na ADSL tak abych se z pc na internetu dostal přímo na webové rozhraní ADSLka, poradí někdo jak na to? dík!

[RNA]

A proč přes nějaké PC na vnitřní síti, když to jde přímo z venku?

[Marek_]

To mě taky napadlo, asi nechce, aby to bylo přístupné přímo zvenku kvůli robotům...

[RNA]

No dobře, ale

Chtěl bych na ubuntu port 80 přesměrovat na ADSL tak abych se z pc na internetu dostal přímo na webové rozhraní ADSLka, poradí někdo jak na to? dík!

tím si moc nepomůže...

[DuckD]

Díky "i_am_deviant"!
Použil jsem toto:

Kód: [Vybrat]

ssh -C -L 8080:192.168.1.1:80 123.123.123.123 -g

-C - komprimovaný ssh kanál
-L - zavedení mapování vzdáleného portu na vzdáleném stroji na námi zvolený lokální port
8080 - lokální port
192.168.1.1:80 - vnitřní ip adresa ADSLka (80 - webové rozhraní)
123.123.123.123 - veřejná IP adresa ADSLka (ADSL forwarduje port 22 na server SSH do vnitřní sítě)
- g - Povolí vzdáleným strojům připojování na lokální forwardované porty. Implicitně se může na tyto porty připojovat pouze localhost.

Následně jsem otevřel prohlížeč a zadal adresu http://localhost:8080/ kde bylo webové rozhraní ADSLka.

Čerpal jsem odtud:
http://www.cryptofest.cz/2003/slajdy/sshtunel/ssh.html
http://linux.poweroff.cz/index.php?clanek=19

[DuckD]

no počkej, nemam v tom bordel, to teda ne! -g se dá použít i v případě -L, to pokud chceš na ten forwardovanej port přistupovat z místní sítě.
A taky nechápu jak si nemohl pochopit otázku když je krásně napsaná v prvních 3 příspěvcích. Chtěl jsem to řešit přes iptables, toto je ale taktéž řešení.
Nechci otevřít přístup na ADSLko přímo z WAN rozhraní. Chci občas přistupovat z WAN rozhraní na ADSLko přes pc ve vnitřní síti když na routeru potřebuju něco udělat. Chtěl jsem nastavit aby PC ve vnitřní síti přeposílalo pakety z 192.168.1.1:80 (webové rozhraní ADSLka) do internetu a zpět.

[Marek_]

Jestli jsem to dobře pochopil...

já bych navrhl ještě jedno řešení, jak to dělám já: přes openVPN se připojíš do své sítě, následně by ses mohl dostat na to rozhraní přes místní adresu 192.168.X.X; popř na ssh, které by bylo jinak zvenku zakázané.

nebo řešení č.4 změnit port toho adsl rozhraní z 80 na třeba 81 a normálně to otevřít zvenku, však je to taky pod heslem, ne?

[DuckD]

Tak řešení přes iptables:

Kód: [Vybrat]

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.1:80
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 0 > /proc/sys/net/ipv4/ip_forward
>> deviant
ty teda myslíš že je tam -g úplně zbytečně? že v kombinaci s -L nedělá nic nebo jak...

[DuckD]

1) "heslo tohoto typu nechranene" - jako heslo do ADSLka? Když https ADSLko neumí. Ty děláš jako kdybych měl doma data z NBU.
2) -g tam neni zbytecne pokud ho potrebuji pouzit, ale to ty nevis preci kdyz nevis o co se snazim ne (jak pises)?
kazdopadne diky za nakopnuti k tomu SSH tunelu!