Помогите перетащить порт

[a_efimov]

Почему же не подхватились? Как раз подхватились. Смотрите на таблицу nat внимательнее.

Точно. Увидел много букв - испугался)))
Только rdp все равно не работает((

[AnrDaemon]

ip route show
?

[ArcFi]

a_efimov, вы сначала определитесь, в каком режиме будете юзать виртуальную сеть:
1) в режиме NAT для организации портфорвардинга, действительно, требуется правило на DNAT;
2) в режиме роутинга проброс порта не нужен, соответственно таблица iptables/nat не нужна вообще, но между клиентом и сервером требуется настроить маршрутизацию.

[AnrDaemon]

ArcFi, эээ... а чем у нас NAT от роутинга отличается?

[ArcFi]

AnrDaemon, я имею ввиду вот это:
http://wiki.libvirt.org/page/VirtualNetworking#Routed_mode

Хост с 5-ю гостями выглядит так:

(Нажмите, чтобы показать/скрыть)

# ip a
...
3: em2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:90:09:3a:03 brd ff:ff:ff:ff:ff:ff
    inet 10.10.28.254/24 brd 10.10.28.255 scope global em2
    inet 192.168.28.2/24 brd 192.168.28.255 scope global em2
    inet6 fe80::225:90ff:fe09:3a03/64 scope link
       valid_lft forever preferred_lft forever
...
7: virbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 52:54:00:a5:bf:e0 brd ff:ff:ff:ff:ff:ff
    inet 10.1.28.254/24 brd 10.1.28.255 scope global virbr1
8: virbr1-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr1 state DOWN qlen 500
    link/ether 52:54:00:a5:bf:e0 brd ff:ff:ff:ff:ff:ff
9: vnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr1 state UNKNOWN qlen 500
    link/ether fe:54:00:4a:e3:83 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe4a:e383/64 scope link
       valid_lft forever preferred_lft forever
10: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr1 state UNKNOWN qlen 500
    link/ether fe:54:00:c3:5f:64 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fec3:5f64/64 scope link
       valid_lft forever preferred_lft forever
11: vnet2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr1 state UNKNOWN qlen 500
    link/ether fe:54:00:8c:42:6b brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe8c:426b/64 scope link
       valid_lft forever preferred_lft forever
12: vnet3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr1 state UNKNOWN qlen 500
    link/ether fe:54:00:1b:37:e6 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe1b:37e6/64 scope link
       valid_lft forever preferred_lft forever
13: vnet4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr1 state UNKNOWN qlen 500
    link/ether fe:54:00:d9:58:51 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fed9:5851/64 scope link
       valid_lft forever preferred_lft forever
...

# ip r
...
10.1.28.0/24 dev virbr1  proto kernel  scope link  src 10.1.28.254
...
10.10.28.0/24 dev em2  proto kernel  scope link  src 10.10.28.254
...

[a_efimov]

ip route show
?

Код: [Выделить]

alexander@seguro:~$ ip route show
default via 192.168.0.1 dev eth0  proto static
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.100  metric 1
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1


[a_efimov]

Приветствую всех еще раз. В прошлый раз мне помог один парень. Не могу теперь его найти. На одном сервере он сделал. Переношу виртуалки на новый сервер. Теперь надо настроить там.

Гружу через iptables-restore:

*filter
-N drop-and-log-it
-A drop-and-log-it -j LOG
-A drop-and-log-it -j REJECT
# allow all connections on loopback
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -j ACCEPT
COMMIT
*nat
-A POSTROUTING -s 192.168.122.0/24 -o eth0 -j MASQUERADE
-A PREROUTING -i eth0 -d 192.168.0.117 -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.122.177:80
COMMIT

192.168.122.177:80 - работает как и должен
192.168.0.117:90 - пустота

ifconfig

eth0      Link encap:Ethernet  HWaddr 08:60:6e:69:6d:07 
          inet addr:192.168.0.117  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a60:6eff:fe69:6d07/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:79261 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13014 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8415836 (8.4 MB)  TX bytes:2855090 (2.8 MB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1269 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1269 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2444805 (2.4 MB)  TX bytes:2444805 (2.4 MB)

virbr0    Link encap:Ethernet  HWaddr fe:54:00:ee:98:ab 
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:135 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15149 (15.1 KB)  TX bytes:13225 (13.2 KB)

vnet0     Link encap:Ethernet  HWaddr fe:54:00:ee:98:ab 
          inet6 addr: fe80::fc54:ff:feee:98ab/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:135 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1823 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:17039 (17.0 KB)  TX bytes:104538 (104.5 KB)

iptables-save

# Generated by iptables-save v1.4.21 on Mon Sep 14 10:23:01 2015
*filter
:INPUT ACCEPT [62511:4175306]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8701:2000024]
:drop-and-log-it - [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -j ACCEPT
-A drop-and-log-it -j LOG
-A drop-and-log-it -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Sep 14 10:23:01 2015
# Generated by iptables-save v1.4.21 on Mon Sep 14 10:23:01 2015
*mangle
:PREROUTING ACCEPT [65469:4858827]
:INPUT ACCEPT [62843:4204332]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8716:2001632]
:POSTROUTING ACCEPT [8812:2007892]
COMMIT
# Completed on Mon Sep 14 10:23:01 2015
# Generated by iptables-save v1.4.21 on Mon Sep 14 10:23:01 2015
*nat
:PREROUTING ACCEPT [5323:998794]
:INPUT ACCEPT [2710:348676]
:OUTPUT ACCEPT [1095:89324]
:POSTROUTING ACCEPT [1095:89324]
-A PREROUTING -d 192.168.0.117/32 -i eth0 -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.122.177:80
-A POSTROUTING -s 192.168.122.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep 14 10:23:01 2015

ip route show

default via 192.168.0.1 dev eth0  proto static
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.117  metric 1
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1

[alexxnight]

таблица filter, цепочка FORWARD
там тоже должны быть разрешены проходящие пакеты с хоста к гостю.
По умолчанию стоит правило DROP

[a_efimov]

таблица filter, цепочка FORWARD
там тоже должны быть разрешены проходящие пакеты с хоста к гостю.
По умолчанию стоит правило DROP

Что и куда писать?

[AnrDaemon]

Вы хотите, чтобы мы за вас написали правила для вашего сервера?…

[a_efimov]

Помог чувак отсюда: http://askubuntu.com/questions/674099/need-help-with-iptables

sudo iptables -A FORWARD -i virbr0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o virbr0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.117 -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.122.177:80

[AnrDaemon]

sudo iptables -A FORWARD -i virbr0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o virbr0 -m state --state ESTABLISHED,RELATED -j ACCEPT

1. Не state, а conntrack.
2. Во втором правиле указания интерфейсов лишние. И оно должно быть первым.