TAPI-Ports forward iptables

[GuenterTarkowski]

Hallo,
es gelingt mir nicht die Ports 5013,1012 und 1147 für fritzbox TAPI-Anwendung durch Debian 8 firewall zu schleusen.
Konstallation. FitzBox1(DSL,Telefon,WLAN,192.168.3.1)--(eth0)Debian8ServerSamba(eth1)--SWITCH--einige PC's mit WIN7-10 teilweise über eine weitere Fritzbox2 via WLAN eingebunden.

Testaufbau 1) PC via WLAN an FRITZBOX1 Aufruf DIALER wählt korrekt via TAPI
Testaufbau 2) PC hinter Server via LAN eingebunden DIALER wählt nicht

/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5031 -j DNAT --to 192.168.3.1:5031
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 5031 -i eth1 -o eth0
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1012 -j DNAT --to 192.168.3.1:1012
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 1012 -i eth1 -o eth0
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1147 -j DNAT --to 192.168.3.1:1147
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 1147 -i eth1 -o eth0

hilft an der Stelle nicht.
Leider ist es mit auch nicht gelungen, einen Logger zu konstruieren, der mir die geblockten Zugriffe anzeigt.
Was mache ich falsch?

[mat6937]

Code: Alles auswählen

/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5031 -j DNAT --to 192.168.3.1:5031
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 5031 -i eth1 -o eth0
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1012 -j DNAT --to 192.168.3.1:1012
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 1012 -i eth1 -o eth0
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1147 -j DNAT --to 192.168.3.1:1147
/sbin/iptables -A FORWARD -j ACCEPT -p tcp --dport 1147 -i eth1 -o eth0

hilft an der Stelle nicht.
Leider ist es mit auch nicht gelungen, einen Logger zu konstruieren, der mir die geblockten Zugriffe anzeigt.

Hast Du:

Code: Alles auswählen

net.ipv4.ip_forward = 1

konfiguriert? Wie sind die Ausgaben von:

Code: Alles auswählen

tcpdump -c 100 -vni eth0 port 5031 or port 1012 or port 1147
iptables -nvx -L PREROUTING -t nat

?

[GuenterTarkowski]

net.ipv4.ip_forward = 1 in /etc/sysctl.conf gesetzt

# iptables -nvx -L PREROUTING -t nat
Chain PREROUTING (policy ACCEPT 19717 packets, 1563124 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5031 to:192.168.3.1:5031
3 156 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1012 to:192.168.3.1:1012
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1147 to:192.168.3.1:1147

# tcpdump -c 100 -vni eth1 port 5031 or port 1012 or port 1147
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
16:31:30.127824 IP (tos 0x0, ttl 128, id 6451, offset 0, flags [none], proto UDP (17), length 40)
192.168.222.154.5031 > 255.255.255.255.5031: UDP, length 12
16:31:30.128492 IP (tos 0x0, ttl 128, id 6452, offset 0, flags [none], proto UDP (17), length 40)
192.168.222.154.5031 > 255.255.255.255.5031: UDP, length 12
16:31:30.128504 IP (tos 0x0, ttl 128, id 6453, offset 0, flags [none], proto UDP (17), length 40)
192.168.222.154.5031 > 255.255.255.255.5031: UDP, length 12
^C
3 packets captured
4 packets received by filter
0 packets dropped by kernel

[GuenterTarkowski]

Problem scheint nicht an Debian zu liegen,
no dropouts heißt halt auch, das nix gesperrt wurde.
Meine Vermutung geht dahin, dass die TAPI-Software von AVM doch nicht in der Lage ist die TCP IP4 Adresse richtig zu verwenden.
Schade

Danke für Eure Aufmerksamkeit
(PS.: keine Möglichkeit gefunden, das als gelöst zu markieren)

[heisenberg]

Leider ist es mit auch nicht gelungen, einen Logger zu konstruieren, der mir die geblockten Zugriffe anzeigt.

Die folgenden Regeln sollten die letzten Regeln sein, bevor irgendwelche Sperrregeln greifen:

Code: Alles auswählen

iptables -A OUTPUT -j LOG
iptables -A INPUT -j LOG
ipables -A FORWARD -j LOG

Logfile üblicherweise: /var/log/kern.log

Ansonsten sehe ich keine Regeln von Dir die irgend etwas sperren oder dass Du einzelne Chain-Policies auf DROP gesetzt hättest.