LINUX.ORG.RU
ФорумAdmin

Настройка iptables для проброса порта


0

1

Пробрасываю порт со шлюза на ДНС-сервер:

для tcp:

iptables -t nat -A PREROUTING --dst 95.60.158.92 -p tcp --dport 53 -j DNAT --to-destination 192.168.1.130

iptables -t nat -A POSTROUTING --dst 192.168.1.130 -p tcp --dport 53 -j SNAT --to-source 192.168.1.1

iptables -t nat -A OUTPUT --dst 95.60.158.92 -p tcp --dport 53 -j DNAT --to-destination 192.168.1.130

iptables -I FORWARD 1 -i p4p1 -o br0 -d 192.168.1.130 -p tcp -m tcp --dport 53 -j ACCEPT

тоже самое, только для udp:

iptables -t nat -A PREROUTING --dst 95.60.158.92 -p udp --dport 53 -j DNAT --to-destination 192.168.1.130

iptables -t nat -A POSTROUTING --dst 192.168.1.130 -p udp --dport 53 -j SNAT --to-source 192.168.1.1

iptables -t nat -A OUTPUT --dst 95.60.158.92 -p udp --dport 53 -j DNAT --to-destination 192.168.1.130

iptables -I FORWARD 1 -i p4p1 -o br0 -d 192.168.1.130 -p udp -m udp --dport 53 -j ACCEPT

где:

95.60.158.92 - внешний IP адрес шлюза;

p4p1 - внешний интерфейс на шлюзе;

192.168.1.1 - внутренний IP адрес шлюза;

br0 - внутренний интерфейс на шлюзе (мост);

192.168.1.130 - внутренний IP адрес DNS-сервера.

в итоге, сервер сервер 95.60.158.92 в настоящее время не отвечает на обычные UDP-запросы:

; <<>> DiG 9.8.4-P2 <<>> @95.60.158.92 SERVERNAME.RU ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached

Помогите найти ошибку. Может, вместо моста нужен физический интерфейс???

Разрешение в FORWARD для пакетов от сервера DNS есть?

Счётчики правил (ключи ″-v -x″ у iptables) при каждом новом запросе растут ?

mky ★★★★★ ()
Последнее исправление: mky (всего исправлений: 1)
Ответ на: комментарий от mky

Разрешение в FORWARD для пакетов от сервера DNS есть?

есть

Счётчики правил (ключи ″-v -x″ у iptables) при каждом новом запросе растут ?

растут

ufayan ()

ну а то что мост используется вместо физического интерфейса, в этом не может быть косяк?

ufayan ()
Ответ на: комментарий от ufayan

Нет, без разницы мост или eth интерфейс.

Запустите tcpdump на br0 на udp порт 53 и смотрите, есть пакеты или нет.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.