LINUX.ORG.RU
ФорумAdmin

Проброска порта - где рыть???


0

0 

Не могу пробросить, с помощью iptables, 80 порт с одной из машин  внутренней сети на внешний ip- aaa.bbb.ccc.ddd:10080,
куда копать и где трабла всемогущий all???


Chain PREROUTING (policy ACCEPT 19455 packets, 3048K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REDIRECT   tcp  --  *      *       172.16.198.0/24      0.0.0.0/0           tcp dpt:3128 redir ports 8080
2        0     0 REDIRECT   tcp  --  *      *       172.16.198.0/24      0.0.0.0/0           tcp dpt:5190 redir ports 8080
3        1    48 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:10080 to:172.16.198.229:80

Chain POSTROUTING (policy ACCEPT 1178 packets, 84928 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 SNAT       tcp  --  *      *       172.16.198.229       0.0.0.0/0           tcp spt:80 to:aaa.bbb.ccc.ddd
2        0     0 MASQUERADE  all  --  *      eth1    172.16.198.0/24      0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1133 packets, 82420 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            aaa.bbb.ccc.ddd      tcp dpt:10080 to:172.16.198.229:80
anonymous

Во-первых, -j SNAT to-source aaa.bbb.ccc.ddd:10080 (порт нужно указывать, т.к. он отличается от исходного !).
Во-вторых, проверить, чтоб FORWARD не был запрещен:
-s 172.16.198.229 -p tcp --sport 80 -o eth1 -j ACCEPT
-d 172.16.198.229 -p tcp --dport 80 -i eth1 -j ACCEPT

spirit ★★★★★
()
Ответ на: комментарий от spirit

2 spirit Большое спасибо за помощь. Наверное, шаманить буду завтра.

anonymous
() 

Снова я, сделал по рекомендачии лучших собаководов,
 и блин не удается пробросить. 
По forward цепочке видно, что запрос идет на 229, 
а дальше, нифига не понимаю...

NAT:
Chain PREROUTING (policy ACCEPT 45098 packets, 7779K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REDIRECT   tcp  --  *      *       172.16.198.0/24      0.0.0.0/0           tcp dpt:3128 redir ports 8080
2        0     0 REDIRECT   tcp  --  *      *       172.16.198.0/24      0.0.0.0/0           tcp dpt:5190 redir ports 8080
3        1    48 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:10080 to:172.16.198.229:80

Chain POSTROUTING (policy ACCEPT 2974 packets, 225K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 SNAT       tcp  --  *      *       172.16.198.229       0.0.0.0/0           tcp spt:80 to:aaa.bbb.ccc.ddd:10080
2        0     0 MASQUERADE  all  --  *      eth1    172.16.198.0/24      0.0.0.0/0

Chain OUTPUT (policy ACCEPT 2882 packets, 221K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            aaa.bbb.ccc.ddd      tcp dpt:10080 to:172.16.198.229:80


и фрагмент
FORWARD:


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  *      *       172.16.198.0/24      0.0.0.0/0           tcp dpt:20
...
17       0     0 ACCEPT     tcp  --  *      eth1    172.16.198.229       0.0.0.0/0           tcp spt:80
18       3   144 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            172.16.198.229      tcp dpt:80

anonymous
()
Ответ на: комментарий от anonymous

А 172.16.198.229 знает как отвечать (слать пакеты наружу) ? На нем правильно прописан default маршрут ? Если на 229 запустить "traceroute -n 1.1.1.1", трасировка дойдет до шлюза с DNAT-ом ? Что говорит tcpdump на внутреннем интерфейсе ?

spirit ★★★★★
()
Ответ на: комментарий от spirit

2 spirit Как обухом по голове. Большое спасибо все работает, 229(w2k) получал другой маршрут по умолчанию, статически прописал и вуаля. Еще раз спасибо.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin