Переброс портов из ppp0 сети в интернет

[rushom]

Ситуация:
VPS с одним внешним ip и настроенным ppp сервером. Подключаюсь к vps через VPN и получаю ip 192.168.100.200. Внешний интерфейс eth0 (ip 5.56.4.100).

Пытаюсь: сделать доступ к web серверу, который располагается на ip 192.168.100.200 из сети интернет по адресу 5.56.4.100:9000

Перепробовал много вариантов, но так и ни чего не вышло.
----
Один из вариантов
iptables -A FORWARD -i eth0 -d 192.168.100.200 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp  --dport 9000 -j DNAT --to-destination 192.168.100.200:80   

Может кто нибудь помочь? Спасибо.

[drako]

Показывайте:
iptables-save
cat /proc/sys/net/ipv4/ip_forward

[fisher74]

Вообще-то ещё маскарада нет для этого сервиса.(лучше, конечно, SNAT)
Поясню: Пакет придёт от клиента и будет успешно завернут на Ваш комп. апач, или сто там у Вас обработает запрос и отправит ответ клиенту по его адресу. НО!!! По таблице маршрутизации  Вашего компа ответ пойдёт не через VPS, а через Ваш основной шлюз.

P.S. В случае с маскарадом, для веб-сервера все клиенты будут с адресом VPS. Чтобы исключить этот момент можно отказаться от маскарада и использовать iproute2 на Вашем компе.

[rushom]

Показывайте:
iptables-save
cat /proc/sys/net/ipv4/ip_forward

Сейчас такой, т.к. после сброса настроек вышеописанные настройки уже не принимались iptables.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Sun Sep 18 17:59:27 2011
*nat
:PREROUTING ACCEPT [9:744]
:POSTROUTING ACCEPT [6:379]
:OUTPUT ACCEPT [3:223]
-A PREROUTING -d 5.56.4.100/32 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.100.200:80
-A POSTROUTING -d 192.168.100.200/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 5.56.4.100
COMMIT
# Completed on Sun Sep 18 17:59:27 2011
# Generated by iptables-save v1.4.8 on Sun Sep 18 17:59:27 2011
*mangle
:PREROUTING ACCEPT [181:14972]
:INPUT ACCEPT [172:14516]
:FORWARD ACCEPT [9:456]
:OUTPUT ACCEPT [149:55808]
:POSTROUTING ACCEPT [158:56264]
COMMIT
# Completed on Sun Sep 18 17:59:27 2011
# Generated by iptables-save v1.4.8 on Sun Sep 18 17:59:27 2011
*filter
:INPUT ACCEPT [3:480]
:FORWARD ACCEPT [9:456]
:OUTPUT ACCEPT [149:55808]
-A INPUT -p tcp -m tcp -m multiport --ports 80 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11348 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11349 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 993 -j ACCEPT
-A INPUT -p udp -m udp -m multiport --ports 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -P DROP
-A FORWARD -p tcp -m tcp --dport 9000 -j ACCEPT

COMMIT
# Completed on Sun Sep 18 17:59:27 2011

cat /proc/sys/net/ipv4/ip_forward

1

Пользователь решил продолжить мысль 18 Сентября 2011, 20:08:09:

Вообще-то ещё маскарада нет для этого сервиса.(лучше, конечно, SNAT)
Поясню: Пакет придёт от клиента и будет успешно завернут на Ваш комп. апач, или сто там у Вас обработает запрос и отправит ответ клиенту по его адресу. НО!!! По таблице маршрутизации  Вашего компа ответ пойдёт не через VPS, а через Ваш основной шлюз.

P.S. В случае с маскарадом, для веб-сервера все клиенты будут с адресом VPS. Чтобы исключить этот момент можно отказаться от маскарада и использовать iproute2 на Вашем компе.

Действительно, может и так. Но iproute2 не удасться использовать, т.к. во внутренней сети находится сервер под управление windows server 2008 (к сожалению от него нет возможности отказаться т.к. система специально написана под iis).

[fisher74]

Я провёл анализ и предложил решения этой проблемы.
Во-первых, нужно проверить правильность выведенного результата анализа. А уже потом искать выход из ситуации.
Уверен, что предложенное мной - не последние варианты.
Пользователь решил продолжить мысль 18 Сентября 2011, 20:15:28:И это... учитесь квотить

[rushom]

Я провёл анализ и предложил решения этой проблемы.
Во-первых, нужно проверить правильность выведенного результата анализа. А уже потом искать выход из ситуации.
Уверен, что предложенное мной - не последние варианты.
Пользователь решил продолжить мысль 18 Сентября 2011, 20:15:28:И это... учитесь квотить

Проверил маршрутизация на сервере в локальной сети в норме.

[fisher74]

В какой норме?
Я и не говорил, что там проблемы с маршрутизацией. Читайте внимательней о чём я писал.

P.S Повторяю: Учитесь квотить

[rushom]

Так же менял адресацию, но результат тот же.

Кто может сказать, что не так здесь? HTTP сервер перекинул на 9000 порт.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Sun Sep 18 20:03:29 2011
*nat
:PREROUTING ACCEPT [15:1630]
:POSTROUTING ACCEPT [7:507]
:OUTPUT ACCEPT [7:507]
-A PREROUTING -d 5.56.4.100/32 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 172.16.16.100:9000
-A POSTROUTING -d 172.16.16.100/32 -p tcp -m tcp --dport 9000 -j SNAT --to-source 5.56.4.100
COMMIT
# Completed on Sun Sep 18 20:03:29 2011
# Generated by iptables-save v1.4.8 on Sun Sep 18 20:03:29 2011
*mangle
:PREROUTING ACCEPT [262:21892]
:INPUT ACCEPT [244:20980]
:FORWARD ACCEPT [18:912]
:OUTPUT ACCEPT [217:30624]
:POSTROUTING ACCEPT [235:31536]
COMMIT
# Completed on Sun Sep 18 20:03:29 2011
# Generated by iptables-save v1.4.8 on Sun Sep 18 20:03:29 2011
*filter
:INPUT ACCEPT [7:336]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [131:12212]
-A INPUT -p tcp -m tcp -m multiport --ports 80 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11348 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11349 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 993 -j ACCEPT
-A INPUT -p udp -m udp -m multiport --ports 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT
-A FORWARD -d 172.16.16.100/32 -i eth0 -p tcp -m tcp --dport 9000 -j ACCEPT
-A FORWARD -s 172.16.16.100/32 -i eth0 -p tcp -m tcp --dport 9000 -j ACCEPT
COMMIT
# Completed on Sun Sep 18 20:03:29 2011
root@Debian-60-squeeze-64-LAMP ~ #

HTTP сервер откликается, в логах пишет две строчки и соединение разрывается:
!->18/09 22:06:46 [5.56.4.100:60071>9000] (t1 17) >Connection closed
!->18/09 22:06:46 [5.56.4.100:60071>9000] (t1 18) >HTTP  in:0 out:0  Time:16
Пользователь решил продолжить мысль 18 Сентября 2011, 22:09:33:

В какой норме?
Я и не говорил, что там проблемы с маршрутизацией. Читайте внимательней о чём я писал.

P.S Повторяю: Учитесь квотить

Не понимаю о чем Вы. Можно подробнее?

[fisher74]

-A POSTROUTING -d 172.16.16.100/32 -p tcp -m tcp --dport 9000 -j SNAT --to-source 5.56.4.100172.16.16.х

172.16.16.х - адрес интерфейса VPN сервера VPS.
Пользователь решил продолжить мысль 18 Сентября 2011, 22:15:46:

Не понимаю о чем Вы. Можно подробнее?

Конечно.
Квотить от английского quote(цитировать).
Мы с Вами на данный момент общаемся вдвоём. И я прекрасно понимаю на какую фразу Вы отвечаете.
Если Вы хотите сделать упор на какую-то определённую фразу, и в контексте ответа не будет понятно, на что Вы отвечаете, то цитируйте только её.
Не надо ВСЁ сообщение каждый раз

[rushom]

-A POSTROUTING -d 172.16.16.100/32 -p tcp -m tcp --dport 9000 -j SNAT --to-source 5.56.4.100172.16.16.х

Спасибо. Заработало.