Логгирование iptables

[tarya]

Добрый день.

Пришлось переустановить материнскую плату на Ubuntu сервер, после чего отвалился проброс портов во внутреннюю сеть.

Что интересно, если зайти из внутренней сети на внешний адрес то проблем нет, но если из чужой сети то ничего не работает. Я думаю что вся проблема в iptables хотя он не менялся. Потом у меня повилась мысль что так как из внутренней сети я могу зайти на внешний айпи адрес, но все кто не в моей сети не могу то я подумал что блокирует трафик провайдер. Но запустил tcpdump я увидел как при каждом обращении извне есть логирование пакета(пакетов) но ничего не соединяется.

Как узнать причину?

00:56:38.480911 IP 111.111.111.223.56951 > 111.111.111.111.3389: Flags , seq 1808589832, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 181472354 ecr 0,sackOK,eol], length 0
00:56:45.379724 IP 111.111.111.223.56952 > 111.111.111.111.3389: Flags , seq 3593840610, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 181479291 ecr 0,sackOK,eol], length 0
00:56:51.364137 IP 111.111.111.223.56953 > 111.111.111.111.3389: Flags , seq 2994539063, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 181485273 ecr 0,sackOK,eol], length 0
00:57:03.355179 IP 111.111.111.223.56954 > 111.111.111.111.3389: Flags , seq 3973123576, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 181497253 ecr 0,sackOK,eol], length 0

Видно как с 111.111.111.223 приходит запрос и обвывается. Вот я 4 раза пробовал зайти и 4 раза выстреливала вот такая строка.

Помогите найти причину почему приходя запрос из вне далее не идет.

sudo iptables -nvL

Chain INPUT (policy ACCEPT 903 packets, 175K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   42  2100 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
40203 5211K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
40888 5215K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW
  279 44737 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 5/min burst 5 LOG flags 0 level 7 prefix "iptables denied: "
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    5   224 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1234
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:2345
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723

Chain FORWARD (policy ACCEPT 9165 packets, 5805K bytes)
 pkts bytes target     prot opt in     out     source               destination         
47557   59M ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
39089 3085K ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           
   49  2688 REJECT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:1701
11289  948K ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.0.100        tcp dpt:3389

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   42  2100 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
83063   23M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

sudo iptables -L -n -v -t nat

Chain PREROUTING (policy ACCEPT 42777 packets, 5442K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   72  4160 DNAT       tcp  --  *      *       0.0.0.0/0            111.111.111.111       tcp dpt:3389 to:192.168.0.100:3389

Chain INPUT (policy ACCEPT 41201 packets, 5294K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3071 packets, 186K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 52 packets, 5486 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 4390  319K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      eth0    192.168.0.0/24       0.0.0.0/0           
   23  1472 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.0.100        tcp dpt:3389 to:111.111.111.111

iptables-save

# Generated by iptables-save v1.4.21 on Sun Mar 22 01:10:29 2015
*filter
:INPUT ACCEPT [913:176522]
:FORWARD ACCEPT [9165:5805408]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2345 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p udp -m udp --sport 1701 -j ACCEPT
-A FORWARD -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Mar 22 01:10:29 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 01:10:29 2015
*mangle
:PREROUTING ACCEPT [195428:82129218]
:INPUT ACCEPT [85138:10985789]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [86367:24302129]
:POSTROUTING ACCEPT [196640:95441686]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Mar 22 01:10:29 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 01:10:29 2015
*nat
:PREROUTING ACCEPT [43529:5538017]
:INPUT ACCEPT [41936:5387883]
:OUTPUT ACCEPT [3082:187304]
:POSTROUTING ACCEPT [52:5486]
-A PREROUTING -d 111.111.111.111/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 111.111.111.111
COMMIT
# Completed on Sun Mar 22 01:10:29 2015

Пользователь решил продолжить мысль [time]22 Март 2015, 03:12:39[/time]:Спасибо за ваши советы