Нужна помощь с IPTABLES проброс портов

[Garikus]

Доброго времени суток имеется следующий скрипт:
#!/bin/sh
# При использовании нескольких сетевых интерфейсов.  eth0 – интернет, eth1 - локальная сеть.
# Включаем пересылку пакетов.
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешим проход трафика на loopback-интерфейсе.
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу.
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT. Замените  на адрес своей сети.
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.0.0/24 -j MASQUERADE
# Запретим доступ из внешней сети во внутреннюю.
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
#Заворот кишок с 80 и 8080 ни 3128 проксю
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 10.10.0.1:3128

требуется пробросить несколько портов на машину в сети с ип 10.10.0.250
делаю следующим образом
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 –dport 3389 -j DNAT –to-destination 10.10.0.250:3389

iptables -t nat -A POSTROUTING -p tcp –dst 10.10.0.250 –dport 3389 -j SNAT –to-source 192.168.0.2

не в какую не хочет, извиняюсь за тупость с убунтой недавно данный скрипт был сделан до меня пришлось ковырять.
Подскажите что не так?

[AnrDaemon]

1. https://forum.ubuntu.ru/index.php?topic=20334.msg1428876#msg1428876
2. Нахрена вы SNAT внутрь сети делаете? Или наружу? Вообще, бред какой-то понаписан.
Рисуйте картинку, отмечайте, что куда пробрасывается.

[fisher74]

iptables -t nat -A POSTROUTING -p tcp –dst 10.10.0.250 –dport 3389 -j SNAT –to-source 192.168.0.2

Это зачем?

-d 192.168.0.2

Это что за IP? Считать его внешним?

P.S. А вообще тут не любят скрипты загрузки правил. Лучше результируюшие правила показывайте

ЗЗЫ. И ubuntu здесь почти не при чём - это всё проделки Linux

[Garikus]

192.168.0.2 это внешний адрес с роутера, нужно с него пробросить на 10.10.0.250 3389 порт на роутере проброс сделан с внешнего ип
линем пользуюсь сравнительно недавно, так что если возможно разжуйте как это должно выглядеть?

[fisher74]

Если это все правила netfilter, то без последнего правила должно работать. Не работает? Смотрите таблицу маршрутизации у 10.10.0.250

[Garikus]

Всю голову сломал не хочет работать(

[fli]

Давай по-порядку:
Сформируй цель. Откуда куда ты хочешь пробросить порты и для чего?
 

[Garikus]

мне нужно из интернета(192.168.0.2 ип с маршрутизатора) попадать по рдп на 10.10.0.250 адрес выдан 10.10.0.1 собственно сервером на котором и надо сделать проброс.
Ну вот как то так, в дальнейшем еще пару портов нужно будет, надо хоть с этим разобраться.

На маршрутизаторе проброс настроен все нормально работает

[fli]

Хм. Только 192.168.0.2 это частный ip.
Если из интернета, то проброс делается на роутере. И почему у вас разные сети с роутером?

[Garikus]

роутер дает инет нескольким предприятиям выдавая свои внутрение IP как бы являясь мелким провайдером вот и ип такой

[AnrDaemon]

Garikus, знаете, почему кроме вас самих вашу писанину никто не понимает?
Сами свою писанину перечитайте, понятно хоть что-то?
Без нормального, систематического мышления вы далеко не уедете. Компьютеры не любят кашу в голове администратора.

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [34937:2123930]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
COMMIT
*filter
:FORWARD DROP [101:4040]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -i eth1 -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.17.0/255.255.255.0 -o ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT

[Garikus]

AnrDaemon остроумно )
вот объясни что непонятного ? требуется с адреса 192.168.0.2 пробросить порт 3389 на адрес 10.10.0.250 ?
ву чем мешанина? в чем каша? Если я не волоку в IPTABLES то тут и написал вопрос.

[fli]

Вот.
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 3389 -j DNAT --to-destination 10.10.0.250:3389
Только такое правило должно быть на хосте 192.168.0.2

[Garikus]

fli самый прикол в том что не работает( с роутера тот же 80 порт приходит апач работает на самом шлюзе а вот со шлюза не куда перенаправлять не хочет( уже незнаю где ковырять(

[fisher74]

ifconfig на этом шлюзе покажите