Форвард портов (для камеры)

[AnrDaemon]

Саму камеру можно было оставить на... эээ... хмык вот откуда ноги росли у бага.
Объясняю. Карту в руки возьми, чтобы следить за мыслью.

-t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination $CAMERA_IP:$CAMERA_PORT

Поскольку nat/PREROUTING выполняется до filter/FORWARD, любой пакет, адресованный на порт 80 и проходящий через нашу машину, будет пересылаться на камеру.
В том числе попытки подключиться к HTTP серверам в интернете.
Чтобы этого не было, надо объяснить нетфильтру, какие именно пакеты мы хотим куда посылать.

Как-то так:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Отрежем пакеты, относящиеся к уже установленным соединениям
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Пошлём новые входящие соединения из интернета на камеру
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.20:80
# Ну и то что было - NAT на выходе
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
P.S.
Тем, у кого "--dport без -m tcp работает" - iptables само дописывает -m tcp при передаче правила нетфильтру. Так что так.

[lega911]

P.S. Тем, у кого "--dport без -m tcp работает" - iptables само дописывает -m tcp при передаче правила нетфильтру. Так что так.

в том и дело, и это в iptables уже вроде как давно, поэтому прописывать нет необходимости.

[MaratSh]

Топик-стартер понимает, что это:

Код: [Выделить]

*filter
:INPUT ACCEPT [438:51102]
:FORWARD ACCEPT [725:176324]
:OUTPUT ACCEPT [387:53181]означает, что сервер торчит голым задом в инет? 

[AnrDaemon]

P.S. Тем, у кого "--dport без -m tcp работает" - iptables само дописывает -m tcp при передаче правила нетфильтру. Так что так.

в том и дело, и это в iptables уже вроде как давно, поэтому прописывать нет необходимости.

Повторяю - ПРОПИСЫВАЕТ, а не ПОДРАЗУМЕВАЕТ. Иными словами, оно НУЖНО. но в виду крайней ОЧЕВИДНОСТИ этого правила, его добавление происходит помимо пользователя, если в правиле после -p xxx идут специфичные для протокола проверки.

Топик-стартер понимает, что это:

Не понимает...