iptables проброс портов

[gecsogen]

Здравствуйте! Нужен мудрый совет. Имеется ubuntu server 16.04 с адресом xxxx.hldns.ru, внутренний сетевой интерфейс enp1s0 с  ip 192.168.1.250, работает pptp сервер с ip 10.30.1.1 .
Есть удаленный компьютер (тоже ubuntu server с 3g модемом, клиент pptp), ip 10.30.1.30.

На роутере пробросил на 192.168.1.250 кучу портов, в том числе 5022 с хотелкой одной, но большой - заходить по ssh на xxxx.hldns.ru:5022, а попадать в итоге на 10.30.1.30:22.
Если получится, далее по образцу пробросил бы порты 5080-80 и т.д.
Каким образом прописать правила в iptables?
Несколько дней колдую - не получается.
Подскажите если не сложно.

[AnrDaemon]

Просто пропишите в ssh коннектиться через промежуточный сервер.
Это проще и надёжнее, чем проборос портов.

[gecsogen]

Просто пропишите в ssh коннектиться через промежуточный сервер.
Это проще и надёжнее, чем проборос портов.

Благодарю, что откликнулись, сделаю SSH туннель. Если кто отпишется по iptables - буду признателен. В любом случае сделаю, что хочу, только за всё приходится временем расплачиваться. С пинка и подсказки делается всё в разы быстрее.

[kosteek]

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d xxxx.hldns.ru --dport 5022 -j DNAT --to-destination 10.30.1.30:22

[gecsogen]

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d xxxx.hldns.ru --dport 5022 -j DNAT --to-destination 10.30.1.30:22

Скорее всего вместо xxxx.hldns.ru надо писать адрес сервера - 192.168.1.250.
Спасибо за ответ.
Ставлю "решено", как всё добъю - отпишусь

[AnrDaemon]

Скорее всего вместо xxxx.hldns.ru надо писать адрес сервера - 192.168.1.250.

Это зависит от поставленных целей.
И надо будет разрешить conntrack DNAT в filter/FORWARD.

[gecsogen]

Скорее всего вместо xxxx.hldns.ru надо писать адрес сервера - 192.168.1.250.

Это зависит от поставленных целей.
И надо будет разрешить conntrack DNAT в filter/FORWARD.

Благодарю за ответ!
Ушел курить iptables tutorial. Возможно найду много нового и интересного

[gecsogen]

Скорее всего вместо xxxx.hldns.ru надо писать адрес сервера - 192.168.1.250.

Это зависит от поставленных целей.
И надо будет разрешить conntrack DNAT в filter/FORWARD.

Прикрепил картинку.
Как сделать, чтобы при наборе допустим xxx.hldns.ru:5080 попасть на 192.168.6.2:80. Порты с роутера перенаправил.
Мучаю бюджетную систему видеонаблюдения на даче.
Свои примеры с iptables приводить не буду, дабы не гневить знающих\умеющих.

[kosteek]

На чем работает pptp сервер?
На нем нужно создать правило

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d xxxx.hldns.ru --dport 5022 -j DNAT --to-destination 127.0.0.1:22

[gecsogen]

На чем работает pptp сервер?
На нем нужно создать правило

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d xxxx.hldns.ru --dport 5022 -j DNAT --to-destination 127.0.0.1:22

Это правило возможно работало бы при условии, что у меня интернет "заходит" в сервер по шнурку в один интерфейс, другой итерфейс интернет раздаёт. У меня же интернет по оптике идёт в роутер (набирая xxx.hldns.ru - я захожу непосредственно на роутер, с него идет проброс портов на сервер в локальной сети), роутер далее раздает интернет в сеть (и присваивает IP адреса).
PPTP Server (enp1s0 - 192.168.1.250, ppp0 - 192.168.6.1) крутится в локальной "домовой" сети IP 192.168.1.*
Маршрутизацию прописал, пинги между 192.168.1.250 <-> 192.168.6.2 проходят.
Дальше с доступом из интернет на 192.168.6.2 у меня ступор. (левый комп в интернет --->роутер--->192.168.1.250:5022--->192.168.6.2:22---->левый комп в интернет)
(Самое очевидное решение - подключатся по ppp0 к xxx.hldns.ru - попадая на pptp сервер 192.168.1.250, получать адрес из 192.168.6.*, и коннектиться к удаленному клиенту в моем случае не проходит - на работе vpn пофиксили, с андроида не могу найти прогу, которая цеплялась бы к pptp просто по логину\паролю, все просят сертификат)

[AnrDaemon]

-i интерфейс