не работает iptables

iptables как раз работает. Одного PREROUTING не хватает. Надо либо в POSTROUTING, либо в FORWARD ещё цепочку добавлять.

зачем INPUT, тем более POSTROUTING?

я просто пытаюсь подменить порт назначения. ведь как идет пакет:

подходит к порту, а потом началось: mangle (PREROUTING) -> nat(PREROUTING) -> mangle (INPUT) -> filter (INPUT) -> local_process.

Политики везде ACCEPT.

После часов мучания его на предмет проброса ssh через ip_forwarding пришеел к выводу, что что-то не так. а тут даж такой простой пример не работает

> -j DNAT

REDIRECT попробуй

Опишите подробнее вашу тестовую конфигурацию. А то не понятно, какие пакеты в рассматриваете. Например, локально-сгенерированные пакеты идут через OUTPUT, и не идут через PREROUTING. Можете просто перед вашим DNAT-правилом добавть такое-же, но с целью LOG, чтобы было видно, ваши пакеты вобще попадают в цепочку.

> я просто пытаюсь подменить порт назначения. ведь как идет пакет:

а ОБРАТНО пакет как пойдёт?

>а ОБРАТНО пакет как пойдёт?
+1

так понял, что вы подняли виртуальную машину в вашей подсети и пытаетесь достучаться до ее ssh с инета, но к инету подключен другой хост в подсети (роутер). еслит так, то:


- у вашего роутера должен быть белый ИП.
- вирт. машина должна иметь доступ к инету через ваш роутер, для чего на роутере настраиваете SNAT.
- настраиваете DNAT для подмены адреса назначения (как вы и написали)

с виртуальной машины есть доступ к инету (вместо инета может быть другая подсеть)

?

зы: вопросик забыл поставить.

pps:

> а ОБРАТНО пакет как пойдёт?

еще раз плюс один

Надеюсь вы не с той же машины, на которой правило DNAT прописали, коннектитесь на порт 5000? Потому что для Localhost соединений kernel packet travelling diagram немножко не такая, как для обычных пакетов :-).
Для более детальных разбирательств
iptables -nvL и iptables -t nat -nvL в студию

З.Ы. Ваше правило работоспособно.

>а ОБРАТНО пакет как пойдёт?

Так и пойдет, не надо для этого никаких доп. правил.

А стоп. FORWARD то ACCEPT... У меня в голове уже аксиома, что всё должно быть по-умолчанию DROP ;)

> Так и пойдет, не надо для этого никаких доп. правил.

как это так? Ведь DNAT сделает только подмену адреса назначения. Адрес источника останется тем же (IP с инета). И если хост на который перенаправляется пакет не имеет доступа к инету, то как он ответит на этот source-IP???

ps: мб я что-либо не догоняю?)

pps: сам всегда добавлял только одно правило для DNAT и все работало, но машина, на которую натилось имела доступ в инет через все тот же шлюз (постредством SNAT).

Это уже проблемы раутинга, а не iptables
Настрой default gateway на того кто делал DNAT и будет всем счастье
А вот как-раз дополнительный SNAT -- зло, так как на сервере все коннекты будут типа со шлюза и такие информативные логи можно сразу отправлять в /dev/null

топикстартеру:

какие ИПы у хостов на которых пробывали?

и
iptables -t nat -vnL ???

> А вот как-раз дополнительный SNAT -- зло

Имелось ввиду SNAT для того, в инет выйти через этот шлюз, те SNAT делать на пакеты уходящие с локалки в инет. А делать SNAT на те пакеты, которые приходят с инета на шлюз, естественно, не стоит.