LINUX.ORG.RU
ФорумAdmin

проброс портов

 


0

1

Есть внутренняя сеть 192.168.200.0 , в этой сети есть win-сервер(обычная машина с хр , звуковое оповещение) с vnc на борту (допустим 192.168.200.30). Так же есть машина с убунту на борту которая имеет 2 сетевых интерфейса: eth2(смотрит в инет с белым ip, например 120.51.21.250) и eth4(смотрит в лок. сеть, 192.168.200.10).
Замечу что машина с убунту не является основным шлюзом для сети.
Вопрос: как мне пробросить правильно порт 5900 на 192.168.200.30, чтобы достучаться из инета?
Делал так

iptables -t nat -A PREROUTING -p tcp -d 120.51.21.250 --dport 5996 -j DNAT --to-destination 192.168.200.30:5900
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.200.30--dport 5900 -j SNAT --to-source 120.51.21.250:5996 

долго думает при подключении и говорит о недоступности сервера (предполагаю, что пакеты на 200.30 уходят, но назад не возвращаются)

★★★★★

IPTABLES -I FORWARD 1 -i $INET_IFACE -o $LAN_IFACE -d 192.168.200.30 -p ALL -j ACCEPT

IPTABLES -A FORWARD -i $LAN_IFACE -p ALL -s 192.168.200.30 -j ACCEPT

и если dhcp то, имхо, есть смысл в
IPTABLES -t nat -A POSTROUTING -j MASQUERADE

что за чем идет и куда вписывать знаем?

ATAMAH ()

На «win-сервере» покажи таблицу маршрутизации, route print

У тебя твой вин-сервер ответ шлёт в дефолт, если чё. А дефолт, как ты заметил, не убунту-сервер.

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

anton_jugatsu прав: ответные пакеты от винды идут на default gateway. Варианты:
- пробрасывать всё-таки на default gateway
- настроить в винде как default gateway адрес убунту, и раздавать ей через NAT интернет из eth4
- предыдущий вариант, но все исходящие пакеты от винды SNAT'ить на реальный gateway. Тогда винда будет выходить в интернет как все, но снаружи к ней можно будет достучаться через белый ip убунты

selivan ★★★ ()

SNAT делайте на 192.168.200.10 и без указания порта в --to-source. Сейчас у вас SNAT правило фактически разрешает только одну tcp-сессию.

(предполагаю, что пакеты на 200.30 уходят, но назад не возвращаются)

Ну дак и проверьте это tcpdump'ом, что предположения то на пустом месте строить.

mky ★★★★★ ()

Вопрос остается открытый..
Возможно я неверно указал ситуацию

как должно выглядеть соединение со стороны локалки
[192.168.200.30 <-> 192.168.200.10]
а со стороны инета
[какой-то внешний IP <-> 120.51.21.250]

то есть не должно быть прямого взаимодействия
[192.168.200.30 <-> какой-то внешний IP]
потому, как это не получится сделать, не поставив шлюзом по-умолчанию мою убунту, а это невозможно.

есть варианты?

jo_b1ack ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.