Iptables (снова про проброс портов)
Форум — Admin
Дано: debian в локалке 192.168.1.0/24 с интерфейсом ens192 и туннель openvpn tun0 в далёкую даль
1: lo: ....
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:d3:80:59 brd ff:ff:ff:ff:ff:ff
altname enp11s0
inet 192.168.1.65/24 brd 192.168.1.255 scope global ens192
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fed3:8059/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 10.8.0.66/24 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::6e6d:bf82:7e44:afe6/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Задача: нужно чтобы пользователи openvpn (10.8.0.0/24) имели доступ к 192.168.1.66 по https (это другая машина в локалке), если вводят в браузере https://10.8.0.66:443 (это наш debian в подсети openvpn)
Клиенты openvpn друг друга видят без проблем.
Хотел пробросить порты в iptables, но не работает. Остальное в iptables по умолчанию (всё открыто).
iptables -A FORWARD -i tun0 -o ens192 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.8.0.66 --dport 443 -j DNAT --to-destination 192.168.1.66:443
iptables -t nat -A POSTROUTING -p tcp --sport 443 --dst 192.168.1.66 -j SNAT --to-source 10.8.0.66:443
Смотрел через tcpdump - пакеты нормально долетают из tun0, а потом летят на 192.168.1.66, но в ответ тишина.
Помогите, пожалуйста. Голову сломал уже.