Не получается пробросить порт iptables

iptables

0

1

Не получается проброс порта из внешнего IP на IP локальной машина

Дано:

Сервер в интернет(CentOS + IPTABLES) IP: 1.2.3.4

На сервере поднят pptp сервер: 192.168.20.1

Роутер клиент pptp: 192.168.20.100

Роутер LAN IP: шлюз 192.168.7.1

Нужно достучаться на 135 порт ПК (Win XP) (порт взят для простоты тестирования): 192.168.7.5

С 1.2.3.4 идет пинг на 192.168.7.5 и наоборот

С 192.168.7.5 идет пинг на 1.2.3.4 (Маршрут прописан)

Нужно пробросить с 1.2.3.4: 135 на 192.168.7.5:135

Пытаюсь пробросить так:

iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 135 -j DNAT --to-destination 192.168.7.5:135

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.7.5 --dport 135 -j SNAT --to-source 1.2.3.4

Ничего не работает….

Проверяю telnet 1.2.3.4 135 (нет ответа)

Помогите уже отчаялся…

Ссылка

←	Образ системы из самой системы

Zabbix спам

→

Ты не отчаивайся) кури ман пакета «rpcbind» и будет тебе счастье ;)

anonymous
(09.12.14 16:58:23 MSK)

Ссылка

rinet - специально для неосиляторов.

axelroot ★
(09.12.14 17:06:19 MSK)

Ссылка

Эм, порт 135 это как бы не весь SMB? Если не пробрасывать вместе с ним 445, 139 и 137(последний - для NetBIOS) - работать оно либо не будет, либо хреново.

Пробрасывать отдельно RPC-порт... Ну я не знаю, насколько это вообще оправданно...

Pinkbyte ★★★★★
(09.12.14 18:25:43 MSK)

Ответ на: комментарий от Pinkbyte 09.12.14 18:25:43 MSK

С сервера 192.168.20.1 команда

telnet 192.168.7.1 135 прекрасно работает...

immortalbox
(09.12.14 18:31:57 MSK) автор топика

Ответ на: комментарий от immortalbox 09.12.14 18:31:57 MSK

попробуй вот это

-A PREROUTING -p tcp -d 1.2.3.4 --dport 135 -j DNAT --to-destination 192.168.7.5:135

rootmaster ★
(09.12.14 22:01:40 MSK)

Ответ на: попробуй вот это от rootmaster 09.12.14 22:01:40 MSK

Ничего не изменилось

immortalbox
(10.12.14 08:40:58 MSK) автор топика

Ссылка

Ответ на: комментарий от immortalbox 09.12.14 18:31:57 MSK

Значит кури man iptables и выхлопы tcpdump-а до победного конца, что еще тут посоветуешь...

Pinkbyte ★★★★★
(10.12.14 09:02:56 MSK)

Ссылка

-j SNAT --to-source 1.2.3.4

-j SNAT --to-source 192.168.20.1

Ты бы схему сети нарисовал, а то в твое словесное описание сети меня путает.

~~sdio~~ ★★★★★
(10.12.14 09:15:26 MSK)
Последнее исправление: sdio 10.12.14 09:19:06 MSK (всего исправлений: 1)

Ссылка

Во-первых, попробуй всё же пробрасывать другой порт для начала, ну подними web сервер или что-то подобное.

Во-вторых, внимательно смотри на картинку iptables. http://wiki.ubuntu.org.cn/images/f/f0/Iptables.gif - особенно будь внимателен, к тем местам, где выполняется маршрутизация пакета.

В третьих, покажи чего у тебя творится в таблице filter/FORWARD.

Показывай маршруты. Как минимум:

ip r

ip ru

В четвёртых, включи логи для DNAT, а также включи логи в таблице FORWARD.

Пятое: включи лог вот тут: echo 1 > /proc/sys/net/ipv4/conf/all/log_martians , и убедись, что у тебя не дропаются пакеты вот тут: echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter

DALDON ★★★★★
(10.12.14 09:20:14 MSK)