LINUX.ORG.RU
решено ФорумAdmin

проброс порте не через дефолтный шлюз

 


1

1

1. есть локалка (172 сеть), выходящая в инет, в ней могу настроить проброс порта на локальный web сервер (пусть 172.1.2.3) через iprables на шлюзе
2. в этойже сети есть хост с 2мя сетевухами (host2): 172.1.2.4 и 10.0.1.4. Нужно настроить доступ через этот комп на тотже веб сервер по сети 10

Если я делаю как и на шлюзе
iptables -t nat -A PREROUTING -i enp5s1 -p tcp --dport 8080 -j DNAT --to-destination 172.1.2.3:80, то очевидно не работает т.к. ответы от web сервера идут на его шлюз по умолчанию, а не на 10.0.1.4
Полагаю нужно както менять адрес отправителя на host2 и это учесть в обратную сторону
web сервер нельзя трогать

★★★★★

Меняйте. Для этого есть SNAT. Но web-сервер тогда будет все эти подключения от одного ip-адреса.

mky ★★★★★ ()
Ответ на: комментарий от mky

да, так понятнее стало, я попутал интерфейсы,итого вышло так:

iptables -t nat -A PREROUTING -i $ETH_10_I -p tcp --dport $ETH_10_PORT -j DNAT --to-destination $ETH_172_HOST:$ETH_172_HOST_PORT
iptables -t nat -A POSTROUTING -o $ETH_172_I -d $ETH_172_HOST -p tcp --dport $ETH_172_HOST_PORT -j SNAT --to-source $ETH_172_HOST_MY_GW

x905 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.