Нужна помощь с IPTABLES проброс портов

[fisher74]

Извиняюсь - профукал в простынке с ошмётками ufw
Разрешите ещё прохождение этих пакетов через FORWARD

sudo iptables -I FORWARD -i eth0 -d 10.10.0.54 -p tcp --dport 3389 -j ACCEPT

Обратите внимание на параметр -I - просто его надо выше запретов запихать, а мне строки параноидальности ufw лень считать - проще в самое начало.

[Garikus]

(Нажмите, чтобы показать/скрыть)

_{# Generated by iptables-save v1.4.4 on Tue Jun 19 12:21:49 2012
 *mangle
 :PREROUTING ACCEPT [103980:70929704]
 :INPUT ACCEPT [260698:76382819]
 :FORWARD ACCEPT [4273496:3486036115]
 :OUTPUT ACCEPT [7059:2173000]
 :POSTROUTING ACCEPT [4531768:3691002773]
 COMMIT
 # Completed on Tue Jun 19 12:21:49 2012
 # Generated by iptables-save v1.4.4 on Tue Jun 19 12:21:49 2012
 *nat
 :PREROUTING ACCEPT [4345:344890]
 :OUTPUT ACCEPT [433:27815]
 :POSTROUTING ACCEPT [433:27815]
 -A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.10.0.54:3389
 -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
 -A POSTROUTING -s 10.10.0.2/32 -o eth0 -j MASQUERADE
 -A POSTROUTING -s 10.10.0.3/32 -o eth0 -j MASQUERADE
 COMMIT
 # Completed on Tue Jun 19 12:21:49 2012
 # Generated by iptables-save v1.4.4 on Tue Jun 19 12:21:49 2012
 *filter
 :INPUT DROP [0:0]
 :FORWARD DROP [0:0]
 :OUTPUT DROP [1:328]
 :Nanny - [0:0]
 :ufw-after-forward - [0:0]
 :ufw-after-input - [0:0]
 :ufw-after-logging-forward - [0:0]
 :ufw-after-logging-input - [0:0]
 :ufw-after-logging-output - [0:0]
 :ufw-after-output - [0:0]
 :ufw-before-forward - [0:0]
 :ufw-before-input - [0:0]
 :ufw-before-logging-forward - [0:0]
 :ufw-before-logging-input - [0:0]
 :ufw-before-logging-output - [0:0]
 :ufw-before-output - [0:0]
 :ufw-reject-forward - [0:0]
 :ufw-reject-input - [0:0]
 :ufw-reject-output - [0:0]
 :ufw-track-input - [0:0]
 :ufw-track-output - [0:0]
 -A INPUT -i lo -j ACCEPT
 -A INPUT -s 127.0.0.0/8 ! -i lo -j LOG
 -A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
 -A INPUT -d 255.255.255.255/32 -i eth1 -j ACCEPT
 -A INPUT -d 255.255.255.255/32 -i ppp0 -j ACCEPT
 -A INPUT -d 255.255.255.255/32 -i ppp1 -j ACCEPT
 -A INPUT -s 10.10.0.0/24 -i eth1 -j ACCEPT
 -A INPUT -s 10.10.0.2/32 -i ppp0 -j ACCEPT
 -A INPUT -s 10.10.0.3/32 -i ppp1 -j ACCEPT
 -A INPUT -d 224.0.0.0/4 -i eth1 ! -p tcp -j ACCEPT
 -A INPUT -d 224.0.0.0/4 -i ppp0 ! -p tcp -j ACCEPT
 -A INPUT -d 224.0.0.0/4 -i ppp1 ! -p tcp -j ACCEPT
 -A INPUT -s 10.10.0.0/24 -i eth0 -j LOG
 -A INPUT -s 10.10.0.0/24 -i eth0 -j DROP
 -A INPUT -s 10.10.0.1/32 -i eth0 -j LOG
 -A INPUT -s 10.10.0.1/32 -i eth0 -j DROP
 -A INPUT -s 10.10.0.1/32 -i eth0 -j LOG
 -A INPUT -s 10.10.0.1/32 -i eth0 -j DROP
 -A INPUT -d 255.255.255.255/32 -i eth0 -j ACCEPT
 -A INPUT -d 192.168.0.2/32 -i eth0 -j ACCEPT
 -A INPUT -d 192.168.0.255/32 -i eth0 -j ACCEPT
 -A INPUT -j LOG
 -A INPUT -j DROP
 -A FORWARD -s 10.10.0.2/32 -d 10.10.0.0/24 -j ACCEPT
 -A FORWARD -d 10.10.0.2/32 -j ACCEPT
 -A FORWARD -s 10.10.0.1/32 -d 10.10.0.0/24 -j ACCEPT
 -A FORWARD -s 10.10.0.3/32 -d 10.10.0.0/24 -j ACCEPT
 -A FORWARD -d 10.10.0.3/32 -j ACCEPT
 -A FORWARD -s 10.10.0.1/32 -d 10.10.0.0/24 -j ACCEPT
 -A FORWARD -s 10.10.0.0/24 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -s 10.10.0.3/32 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -d 10.10.0.3/32 -j ACCEPT
 -A FORWARD -s 10.10.0.1/32 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -s 10.10.0.0/24 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -s 10.10.0.2/32 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -d 10.10.0.2/32 -j ACCEPT
 -A FORWARD -s 10.10.0.1/32 -d 10.10.0.1/32 -j ACCEPT
 -A FORWARD -s 10.10.0.0/24 -i eth1 -o eth0 -j ACCEPT
 -A FORWARD -s 10.10.0.2/32 -i ppp0 -o eth0 -j ACCEPT
 -A FORWARD -s 10.10.0.3/32 -i ppp1 -o eth0 -j ACCEPT
 -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 -A FORWARD -d 10.10.0.0/24 -o eth0 -j LOG
 -A FORWARD -d 10.10.0.0/24 -o eth0 -j DROP
 -A FORWARD -d 10.10.0.1/32 -o eth0 -j LOG
 -A FORWARD -d 10.10.0.1/32 -o eth0 -j DROP
 -A FORWARD -d 10.10.0.1/32 -o eth0 -j LOG
 -A FORWARD -d 10.10.0.1/32 -o eth0 -j DROP
 -A FORWARD -j LOG
 -A FORWARD -j DROP
 -A FORWARD -d 10.10.0.54/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
 -A OUTPUT -o lo -j ACCEPT
 -A OUTPUT -d 255.255.255.255/32 -o eth1 -j ACCEPT
 -A OUTPUT -d 255.255.255.255/32 -o ppp0 -j ACCEPT
 -A OUTPUT -d 255.255.255.255/32 -o ppp1 -j ACCEPT
 -A OUTPUT -d 10.10.0.0/24 -o eth1 -j ACCEPT
 -A OUTPUT -d 10.10.0.2/32 -o ppp0 -j ACCEPT
 -A OUTPUT -d 10.10.0.3/32 -o ppp1 -j ACCEPT
 -A OUTPUT -d 224.0.0.0/4 -o eth1 ! -p tcp -j ACCEPT
 -A OUTPUT -d 224.0.0.0/4 -o ppp0 ! -p tcp -j ACCEPT
 -A OUTPUT -d 224.0.0.0/4 -o ppp1 ! -p tcp -j ACCEPT
 -A OUTPUT -d 10.10.0.0/24 -o eth0 -j LOG
 -A OUTPUT -d 10.10.0.0/24 -o eth0 -j DROP
 -A OUTPUT -d 10.10.0.1/32 -o eth0 -j LOG
 -A OUTPUT -d 10.10.0.1/32 -o eth0 -j DROP
 -A OUTPUT -d 10.10.0.1/32 -o eth0 -j LOG
 -A OUTPUT -d 10.10.0.1/32 -o eth0 -j DROP
 -A OUTPUT -d 255.255.255.255/32 -o eth0 -j ACCEPT
 -A OUTPUT -s 192.168.0.2/32 -o eth0 -j ACCEPT
 -A OUTPUT -s 192.168.0.255/32 -o eth0 -j ACCEPT
 -A OUTPUT -j LOG
 -A OUTPUT -j DROP
 COMMIT
 # Completed on Tue Jun 19 12:21:49 2012}
 
 

И не в какую

[bocxod]

Ну нету соединения.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Tue Jun 19 10:25:55 2012
*nat
:PREROUTING ACCEPT [2814:225501]
:POSTROUTING ACCEPT [889:56057]
:OUTPUT ACCEPT [889:56057]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A PREROUTING -d 10.103.21.206/32 -p tcp -m tcp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
-A PREROUTING -d 10.103.21.206/32 -p udp -m udp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 ! -d 192.168.3.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Tue Jun 19 10:25:55 2012

[Garikus]

fisher74 СПС ГРОМАДНОЕ ВСЕ ЗАРАБОТАЛО ) ПРИ ВСТРЕЧЕ С МЕНЯ ПИВО)) 

[fisher74]

-A PREROUTING -d 10.103.21.206/32 -p tcp -m tcp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
-A PREROUTING -d 10.103.21.206/32 -p udp -m udp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556

Вообще 10.0.0.0/8 - серый адрес. Думаю 2ip в любом случае не покажет открытого порта.
Пользователь решил продолжить мысль 19 Июня 2012, 10:37:49:

Всегда пожалуйста. Приходите ещё.

[bocxod]

-A PREROUTING -d 10.103.21.206/32 -p tcp -m tcp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556
-A PREROUTING -d 10.103.21.206/32 -p udp -m udp --dport 55556 -j DNAT --to-destination 192.168.2.63:55556

Вообще 10.0.0.0/8 - серый адрес. Думаю 2ip в любом случае не покажет открытого порта.
Пользователь решил продолжить мысль 19 Июня 2012, 10:37:49:

Всегда пожалуйста. Приходите ещё.

А как тогда сделать красиво?

[fisher74]

Дело не в красоте. Серость определяет провайдер. Отбеливать только с их помощью (они обычно за это хотят деньги, если изначально серые раздают)

[bocxod]

Дело не в красоте. Серость определяет провайдер. Отбеливать только с их помощью (они обычно за это хотят деньги, если изначально серые раздают)

Это и имелось с виду под сделать красиво.
Так роутер пахал же на линуксе и пробрасывал порты, значит можно. А как?!

[AnrDaemon]

Извиняюсь - профукал в простынке с ошмётками ufw
Разрешите ещё прохождение этих пакетов через FORWARD

sudo iptables -I FORWARD -i eth0 -d 10.10.0.54 -p tcp --dport 3389 -j ACCEPT

Обратите внимание на параметр -I - просто его надо выше запретов запихать, а мне строки параноидальности ufw лень считать - проще в самое начало.

Зачем так сложно?
-A FORWARD -m state --state DNAT -j ACCEPT

[fisher74]

У каждого бойца свои приёмы. Мой вариант чётко описывает какой траффик пропускается, Ваш - более общий, хотя тоже имеет право на жизнь. У каждого в голове свои тараканы.

[bocxod]

Вопрос открыт. Каким образом оганизовать проброс порта с внешного (динамического) ИП через нат во внутренюю сеть!?

[fisher74]

Найти/сваять соответствующие скрипты для инкрустации их в /etc/network/if-up.d/ и /etc/network/if-down.d/
По крайней мере, я бы пошёл по этому пути.

[AnrDaemon]

У каждого бойца свои приёмы. Мой вариант чётко описывает какой траффик пропускается, Ваш - более общий, хотя тоже имеет право на жизнь. У каждого в голове свои тараканы.

Дело в том, что ты трафик уже разрешил - в PREROUTING.
Лишние шлагбаумы только лишние. Если тут что и проверять, так это адрес источника.
Пользователь решил продолжить мысль 19 Июня 2012, 13:55:47:

Вопрос открыт. Каким образом оганизовать проброс порта с внешного (динамического) ИП через нат во внутренюю сеть!?

Пробрасывать с интерфейса, а не с адреса.

[bocxod]

У каждого бойца свои приёмы. Мой вариант чётко описывает какой траффик пропускается, Ваш - более общий, хотя тоже имеет право на жизнь. У каждого в голове свои тараканы.

Дело в том, что ты трафик уже разрешил - в PREROUTING.
Лишние шлагбаумы только лишние. Если тут что и проверять, так это адрес источника.
Пользователь решил продолжить мысль 19 Июня 2012, 13:55:47:

Вопрос открыт. Каким образом оганизовать проброс порта с внешного (динамического) ИП через нат во внутренюю сеть!?

Пробрасывать с интерфейса, а не с адреса.

eth0 или ppp0 ?

(общую логику еще не понял, поэтому и вопросы такие)

[fisher74]

Лишние шлагбаумы только лишние.

Многое ещё зависит от запущенности паранойи, уверенности в правильности созданных правил, в уверенности, что будет настраиваться потом, в будущем.