iptables, избитая тема, не получается перенаправление портов

[emmanuil]

Всем привет!
Подобных тем было много и прошу прощения за еще одну. Много информации об этом, но не получается. Проблема в следующем.
Ubuntu 10.10. ADSL модем в режиме моста, да и без моста пробовал. Настройка сети через NetworkManager. В нем указал список адресов 192.168.1.100, 192.168.1.101.
Есть glassfish на 192.168.1.101:8080, нужно обращаться к нему по 80 порту, он этот порт может слушать тока под рутом. Запускать его под рутом не приемлимо. Значит нужно настроить переадресацию портов. Что я и пытаюсь сделать.
Файл /etc/network/interfaces такой:

Код: [Выделить]

auto lo
iface lo inet loopback

pre-up iptables-restore < /home/vladimir/iptables.rules
Файл /home/vladimir/iptables.rules такой:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sun Jan 23 11:15:32 2011
*mangle
:PREROUTING ACCEPT [890:56594]
:INPUT ACCEPT [880:55621]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [938:64036]
:POSTROUTING ACCEPT [920:59961]
COMMIT
# Completed on Sun Jan 23 11:15:32 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 11:15:32 2011
*nat
:PREROUTING ACCEPT [11:912]
:OUTPUT ACCEPT [519:36138]
:POSTROUTING ACCEPT [501:32063]
-A PREROUTING -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -d 192.168.1.101/32 -p udp -m udp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
# Completed on Sun Jan 23 11:15:32 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 11:15:32 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -s 192.168.1.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.1.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 192.168.1.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -s 192.168.1.100/32 -d 192.168.1.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.100/32 -d 192.168.1.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sun Jan 23 11:15:32 2011cat /proc/sys/net/ipv4/ip_forward выдает "1".
Но ничего не выходит. Через браузер пытаюсь зайти на 192.168.1.101:80 и вместо того чтобы получить страницу сервера, получаю "К сожалению ....".
Уже несколько дней бьюсь, никак не могу. Помогите, пожалуйста! Как настроить?

[Mam(O)n]

sudo ufw disable
sudo iptables -F
sudo iptables -X
sudo iptables -F -t nat
sudo iptables -X -t nat
sudo iptables -A PREROUTING -d 192.168.1.101 -p tcp --dport 80 -j REDIRECT --to 8080
sudo iptables-save > /home/vladimir/iptables.rules

[emmanuil]

Большое спасибо за скорый ответ!!!
При sudo /etc/init.d/networking restart выдает

Код: [Выделить]

* Reconfiguring network interfaces...
Ignoring unknown interface ppp0=ppp0.
Теперь файл стал намного короче

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sun Jan 23 12:53:50 2011
*mangle
:PREROUTING ACCEPT [217468:49574305]
:INPUT ACCEPT [217014:49559713]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [216070:43729367]
:POSTROUTING ACCEPT [216209:43747461]
COMMIT
# Completed on Sun Jan 23 12:53:50 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 12:53:50 2011
*nat
:PREROUTING ACCEPT [629:23897]
:OUTPUT ACCEPT [68391:4124706]
:POSTROUTING ACCEPT [68359:4117748]
-A PREROUTING -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
# Completed on Sun Jan 23 12:53:50 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 12:53:50 2011
*filter
:INPUT ACCEPT [951:147086]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [952:147533]
COMMIT
# Completed on Sun Jan 23 12:53:50 2011Но все равно не работает.
Сейчас перезагружу и попробую зайти.
Пользователь решил продолжить мысль 23 Января 2011, 10:07:02:Перезагрузил, не работает. У меня внешний динамический IP.
Скажите, что показать, я покажу.
Пользователь решил продолжить мысль 23 Января 2011, 10:09:00:Еще я в команде sudo iptables -A PREROUTING -d 192.168.1.101 -p tcp --dport 80 -j REDIRECT --to 8080 добавил -t nat, а то команда не отрабатывала.

[Mam(O)n]

Если на этой же тачке проверяешь, то для этого нужно еще и

Код: [Выделить]

sudo iptables -t nat -A OUTPUT -d 192.168.1.101 -p tcp --dport 80 -j REDIRECT --to 8080Пользователь решил продолжить мысль 23 Января 2011, 10:11:18:

добавил -t nat, а то команда не отрабатывала.

Ага, это я потерял...

[emmanuil]

Да, на этой же машине. Но все равно не работает.

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sun Jan 23 13:23:10 2011
*mangle
:PREROUTING ACCEPT [1291:155637]
:INPUT ACCEPT [1276:154500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1305:111792]
:POSTROUTING ACCEPT [1327:116842]
COMMIT
# Completed on Sun Jan 23 13:23:10 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 13:23:10 2011
*nat
:PREROUTING ACCEPT [7:820]
:OUTPUT ACCEPT [497:31457]
:POSTROUTING ACCEPT [497:31457]
-A PREROUTING -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A OUTPUT -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
# Completed on Sun Jan 23 13:23:10 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 13:23:10 2011
*filter
:INPUT ACCEPT [1276:154500]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1305:111792]
COMMIT
# Completed on Sun Jan 23 13:23:10 2011


[Mam(O)n]

По http://192.168.1.101 обращаешься?

[emmanuil]

Да. Но ничего не открывается. Если добавить порт 8080, то открывается страница glassfish.
Пользователь решил продолжить мысль 23 Января 2011, 10:34:47:Перезагружать машину обязательно каждый раз? Или достаточно networking restart?

[Mam(O)n]

А как ты правила прописываешь? Если командой iptables, то ничего не надо перезагружать. Если в конфиг файл, то networking restart загрузить эти правила из файла.
Пользователь решил продолжить мысль 23 Января 2011, 10:40:54:Вобщем то странно, но у меня та же конфигурация и работает:

Код: [Выделить]

root@mamon-desktop:~# iptables-save
# Generated by iptables-save v1.4.4 on Sun Jan 23 10:38:27 2011
*nat
:PREROUTING ACCEPT [3:436]
:OUTPUT ACCEPT [357:28132]
:POSTROUTING ACCEPT [363:28492]
-A OUTPUT -d 172.22.22.22/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
# Completed on Sun Jan 23 10:38:27 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 10:38:27 2011
*filter
:INPUT ACCEPT [4858:3857801]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4890:800600]
COMMIT
# Completed on Sun Jan 23 10:38:27 2011
root@mamon-desktop:~# wget http://172.22.22.22 -O- 2>/dev/null | head
<!--Arbortext, Inc., 1988-2008, v.4002-->
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html lang="en">
<!--
DO NOT ALTER OR REMOVE COPYRIGHT NOTICES OR THIS HEADER.

Copyright (c) 2009, 2010 Oracle and/or its affiliates. All rights reserved.

Use is subject to License Terms
-->

UPD: Для пользователей webkit'ных браузеров убрал спойлер.

[emmanuil]

У тебя там PREROUTING нет, а у меня есть, это как то влияет?
192.168.1.100 и 192.168.1.101 - это локальные адреса. Внешний динамический. У меня целая цепочка через dyndns, пока запрос дойдет до моего сервера.
Может у меня еще что-то не так? Какие настройки показать?
Пользователь решил продолжить мысль 23 Января 2011, 10:48:45:Спойлер сжимает в две строки и неудобно смотреть.
Пользователь решил продолжить мысль 23 Января 2011, 10:50:59:А правила как ты показывал, командами.
Вот ё-моё! Что же у меня не так то....

[Mam(O)n]

У тебя там PREROUTING нет, а у меня есть, это как то влияет?

Это я для примера. PREROUTING, это когда снаружи запрос приходит обрабатывается. А если запрос локально на этой тачке генерится, то это цепочка OUTPUT.

192.168.1.100 и 192.168.1.101 - это локальные адреса. Внешний динамический. У меня целая цепочка через dyndns, пока запрос дойдет до моего сервера.

Сколько ip адресов в системе? (ifconfig)

Спойлер сжимает в две строки и неудобно смотреть.

Это так только в вебкитных браузерах.

[emmanuil]

Это правильно, что cat /proc/sys/net/ipv4/ip_forward выдает "1"?
Файл /etc/network/interfaces такой:

Код: [Выделить]

auto lo
iface lo inet loopback

pre-up iptables-restore < /home/vladimir/iptables.rules
ipconfig:

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:24:8c:8f:eb:c1 
          inet6 addr: fe80::224:8cff:fe8f:ebc1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1097 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1111 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:374803 (374.8 KB)  TX bytes:346944 (346.9 KB)
          Interrupt:71 Base address:0x8000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:286 errors:0 dropped:0 overruns:0 frame:0
          TX packets:286 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:21235 (21.2 KB)  TX bytes:21235 (21.2 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:92.46.30.188  P-t-P:92.46.31.32  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:879 errors:0 dropped:0 overruns:0 frame:0
          TX packets:994 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:339539 (339.5 KB)  TX bytes:315564 (315.5 KB)
IP адреса:

Состояние:

[Mam(O)n]

Аааа, вотоночё. У тебя pppoe через NM, который деконфигурирует ip адреса на eth интерфейсе при поднятом туннеле, поэтому на 192.168.1.100 и 192.168.1.101 бесполезно обращаться в этом случае.

Тады обнуляй те правила, что есть и делай так:

Код: [Выделить]

iptables -t nat -N RED
iptables -t nat -A RED -p tcp --dport 80 -j REDIRECT --to 8080
iptables -t nat -A PREROUTING -i ppp0 -j RED
iptables -t nat -A PREROUTING -i eth0 -j RED
iptables -t nat -A OUTPUT -j RED


[emmanuil]

Отрубился инет. Добавил адрес ...101, перезагрузился, инет заработал, но перенаправление нет.

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sun Jan 23 14:29:56 2011
*filter
:INPUT ACCEPT [1907:656165]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1958:215114]
COMMIT
# Completed on Sun Jan 23 14:29:56 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 14:29:56 2011
*nat
:PREROUTING ACCEPT [249:16879]
:OUTPUT ACCEPT [556:34517]
:POSTROUTING ACCEPT [557:34577]
:RED - [0:0]
-A PREROUTING -i ppp0 -j RED
-A PREROUTING -i eth0 -j RED
-A OUTPUT -j RED
-A RED -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
COMMIT
# Completed on Sun Jan 23 14:29:56 2011
# Generated by iptables-save v1.4.4 on Sun Jan 23 14:29:56 2011
*mangle
:PREROUTING ACCEPT [1927:656787]
:INPUT ACCEPT [1907:656165]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1958:215114]
:POSTROUTING ACCEPT [1981:219545]
COMMIT
# Completed on Sun Jan 23 14:29:56 2011
Пользователь решил продолжить мысль 23 Января 2011, 11:35:53:Мне не обязательно использовать соединение типа мост. Просто иначе запросы из инета попадают на веб-интерфейс настройки модема. Если есть возможность, чтобы запросы шли на нужный локальный адрес, то мне даже лучше избавиться от моста.

[Mam(O)n]

-A RED -d 192.168.1.101/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

Я без адреса написал правило не просто так
Пользователь решил продолжить мысль 23 Января 2011, 11:40:50:

Если есть возможность, чтобы запросы шли на нужный локальный адрес, то мне даже лучше избавиться от моста.

Если модем может превартиться в adsl-маршрутизатор, то можно избавиться.

[emmanuil]

Я так и подумал, но инет перестал работать. Сейчас исправлю, попробую снова.