SSH + NAT... извне не доступен

[SergER]

Здравствуйте.

Ситуация следующая: есть примерно такая сетка.

Internet <--> [ADSL] <--> [gate] <--> LAN

ADSL - модем, на нем поднят NAT, настроен динДНС
gate - старинная машинка с ubuntu8.04, 2 сетевые карточки, тоже поднят NAT, крутится iptables, шейпится трафик и все такое...
На gate поднят SSH, успешно работает при обращении из локальной сети по LAN-интерфейсу. Если обратиться к нему из инета - результат всегда "connection refused". Порт 22 форвардится модемом, но результата нет.
вот кусок iptables-save:

# Generated by iptables-save v1.3.8 on Fri Sep 11 03:15:30 2009
*nat
:PREROUTING ACCEPT [3072:357413]
:POSTROUTING ACCEPT [128:4702]
:OUTPUT ACCEPT [128:4702]
-A PREROUTING -d 192.168.1.2 -p tcp -m tcp --dport 60110 -j DNAT --to-destination 10.10.10.233:60110
-A POSTROUTING -s 10.10.10.233 -o eth1 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -s 10.10.10.235 -o eth1 -j SNAT --to-source 192.168.1.2
COMMIT
# Completed on Fri Sep 11 03:15:30 2009
# Generated by iptables-save v1.3.8 on Fri Sep 11 03:15:30 2009
*filter
:INPUT DROP [228:59354]
:FORWARD ACCEPT [34152:18468383]
:OUTPUT ACCEPT [7996:671709]
-A INPUT -s 10.10.10.233 -m state --state NEW -j ACCEPT                # комп 1
-A INPUT -s 10.10.10.235 -m state --state NEW -j ACCEPT                # комп 2
-A INPUT -s 192.168.1.1 -m state --state NEW -j ACCEPT                # модем
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -s 224.0.0.0/240.0.0.0 -j DROP
-A INPUT -d 224.0.0.0/240.0.0.0 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 14 -j DROP
COMMIT
# Completed on Fri Sep 11 03:15:30 2009

Может там еще какая-то хитрость есть?

[AnrDaemon]

Ну и, ткни мне пальцем, где у тебя разрешены коннекты из внешнего мира к шлюзу?

[SergER]

походу здесь:

-A INPUT -s 192.168.1.1 -m state --state NEW -j ACCEPT                # модем

на модеме ведь нат, следовательно все что идет "из внешнего мира", приходит на gate как бы прямо от модема... правильно?

[Silver Ghost]

DNAT, SNAT, маскарад???
Какой нат там поднят?

[SergER]

вот этого я не могу сказать:( в настройках модема есть только чекбоксы NAT и FIREWALL... какой конкретно нат - хз. Стоят оба чекбокса, можно конечно чекбокс файрвола убрать, но без него модем работает примерно день, а потом перестает отвечать по телнету и хттп, хотя инет все равно есть... как-то сумбурно я это описал. короче смысл в том, что без этой галки нормальной работы от модема ждать не приходится
в двух словах, какая разница для ssh, что на модеме - snat, dnat или masquerade? и вот еще что, кстати - я пробросил порты для торрента, там все без проблем, входящие соединения есть, т.е. модем форвардит нормально

[graddata]

я не вижу ни одного redirecta

[SergER]

появилась мысль - поднять на гейте VPN-сервер, пробрасывать порты до него, коннектиться к ВПНу, а потом через него лезть по SSH... бред или не бред?
Пользователь решил продолжить мысль 11 Сентября 2009, 12:47:37:

я не вижу ни одного redirecta

в первом сообщении? так это iptables на гейте (к которому собственно я хочу достучаться по ssh). там нет никаких редиректов, кроме как для раздачи инета для локальной сети. ВНУТРЬ локалки мне не надо, нужен доступ только к самому гейту.

[AnrDaemon]

походу здесь:

-A INPUT -s 192.168.1.1 -m state --state NEW -j ACCEPT                # модем

Это у тебя разрешены обращения с модема на комп, а не из интернета...
Выпрямляй правила!

на модеме ведь нат, следовательно все что идет "из внешнего мира", приходит на gate как бы прямо от модема... правильно?

NAT =/= MASQUERADE.
Как ты верно заметил, на модеме - нат... он только наружу твои серые адреса не пропускает, а снаружи запросы он форвардит как есть.

[graddata]

SergER
Ты ещё Hamachi поставть на Windows, которая в локальной сети.