LINUX.ORG.RU
ФорумAdmin

iptables проброс порта

 


0

1

Собственно хочу разрешить прхождение в локалку трафика с определенного ипшника (ip с 4000 порта) добавил правило, но оно не работает подскажите что делаю не так ?

iptables -A FORWARD -s ip1 -i ppp0 -o eth0 -p tcp –syn –dport 4000 -m conntrack –ctstate NEW -j ACCEPT

причем если убрать из правила -s ip1 то все работает

Уточните задачу. Вы хотите что при подключении к vpn была доступна внутренняя сетка. Или вы хотите чтобы это работало с определенных адресов без всяких VPN? Если второе то для этого нужен NAT. Пример четно спертый с digital ocean -

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.0.2.2

Не хватает только -s для указания того самого вожделенного адреса с которого этот проброс бы работал. К сожалению под рукой нет ничего на чем проверить, но вроде оно как то так в вашем случае:

iptables -t nat -A PREROUTING -s ip1 -i eth0 -p tcp --dport 4000 -j DNAT --to-destination ip2
Nekto_Vladislav ()
Ответ на: комментарий от Nekto_Vladislav

Необходимо пробросить порт 4000 через прокси сервер на комп в локальной сети. Сейчас это реализванно так


iptables -A FORWARD -i ppp0 -o eth0 -p tcp --syn --dport 4000 -m conntrack --ctstate NEW -j ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to-destination 192.168.*.*:4000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to-destination 192.168.*.*:4000
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 4000 -d 192.168.3.131 -j SNAT --to-source 192.168.*.*
 

Сейчас правила работают и разрешают подключатся с любого ip Так как филиал получил белый ip хочу подправить правила таким образом чтобы разрешить проброс только с этого белого адреса.

drac753 ★★ ()
Последнее исправление: drac753 (всего исправлений: 2)
Ответ на: комментарий от anc

Да собственно, в предыдущей остановились на том что можно фильтровать через PREROUTING и через форвард, собственно начал работать с Forward а оно никак, потому и создал новую тему

drac753 ★★ ()
Последнее исправление: drac753 (всего исправлений: 1)
Ответ на: комментарий от drac753

Показывайте полные правила iptables-save. И просьба уж серый адрес не надо маскарадить, я только поэтому вас и узнал.
ЗЫ Однако, что-то мне подсказывает по вашему объяснению, что ip1 как написали выше не ip1. Вы можете посмотреть сами используя tcpdump так или оно или нет. Чудес не бывает.

anc ★★★★★ ()