Помогите с iptables

[iks]

Есть такой скрипт

Код: [Выделить]

#!/bin/bash

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -F
iptables -X

#####################################################################

EXT_IP=x.x.x.x # внешний, реальный IP-адрес
INT_IP=192.168.0.1 # внутренний IP-адрес локальной сети
LAN_IP=192.168.0.2 # внутренний IP-адрес сервера
EXT_IF=ppp0 # внешний интерфейс
INT_IF=vboxnet0 # внутренний интерфейс
SSH_PORT=22 # ssh порт
HTML_PORT=8080 # html внешний порт
LanHTML_PORT=80 # html порт виртуалки

##### Перенапрвления по портам в локальную сеть #####

##### SSH #####
iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SSH_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SSH_PORT -j ACCEPT

##### HTML #####
iptables -A INPUT -p tcp --dport $HTML_PORT -m state --state NEW -j ACCEPT

iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport $HTML_PORT -j DNAT --to-destination $LAN_IP:$LanHTML_PORT
iptables -t nat -A POSTROUTING -d $LAN_IP -p tcp --dport $LanHTML_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT -d $EXT_IP -p tcp --dport $LanHTML_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp --dport $LanHTML_PORT -j ACCEPT

##### Раздача интернета в локалку #####
iptables -A FORWARD -i $EXT_IF -o $INT_IF -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT,NEW -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADEперенаправление по ssh отрабатывает нормально, а вот с внешний_IP:8080<-->192.168.0.2:80 не проходит, порт не открывается, хотя если запрашиваю на главной машине http://192.168.0.2/ все нормально отрабатывает, покажите где допустил ошибку, направлять на мануалы не стоит, перечитал их вагон, тележку скурить успел тоже =)

[AnrDaemon]

iptables-save показывайте.

[fisher74]

Выкидываем смело

iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A OUTPUT -d $EXT_IP -p tcp --dport $LanHTML_PORT -j DNAT --to-destination $LAN_IP

Если на шлюзе НЕ работает свой http-сервер, то выкидываем:

iptables -A INPUT -p tcp --dport $HTML_PORT -m state --state NEW -j ACCEPT

Если на машине 192.168.0.2 совпадает с этим

~$ ip r | grep default
default via 192.168.0.1 dev eth0  metric 100

то смело удаляем

iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SSH_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A POSTROUTING -d $LAN_IP -p tcp --dport $LanHTML_PORT -j SNAT --to-source $INT_IP

А потом, после ребута, то что сказал AnrDaemon - в студию

P.S. И попробуйте ещё раз изучить туториал iptables - хотя бы в плане какая таблица и какая цепочка где работает.

[iks]

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Aug 12 11:21:42 2011
*nat
:PREROUTING ACCEPT [8925:778716]
:POSTROUTING ACCEPT [1631:138208]
:OUTPUT ACCEPT [68236:4168458]
-A PREROUTING -d 91.192.x.x/32 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -d 91.192.x.x/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.2:80
-A POSTROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -j MASQUERADE
-A OUTPUT -d 91.192.x.x/32 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.2
-A OUTPUT -d 91.192.x.x/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2
COMMIT
# Completed on Fri Aug 12 11:21:42 2011
# Generated by iptables-save v1.4.4 on Fri Aug 12 11:21:42 2011
*mangle
:PREROUTING ACCEPT [167719:30738569]
:INPUT ACCEPT [159474:30012545]
:FORWARD ACCEPT [32:3264]
:OUTPUT ACCEPT [156543:9535446]
:POSTROUTING ACCEPT [157321:9655954]
COMMIT
# Completed on Fri Aug 12 11:21:42 2011
# Generated by iptables-save v1.4.4 on Fri Aug 12 11:21:42 2011
*filter
:INPUT ACCEPT [159474:30012628]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [156544:9535589]
-A INPUT -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.0.2/32 -i ppp0 -o vboxnet0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.0.2/32 -i ppp0 -o vboxnet0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i ppp0 -o vboxnet0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW,RELATED,ESTABLISHED,DNAT -j ACCEPT
COMMIT
# Completed on Fri Aug 12 11:21:43 2011

(Нажмите, чтобы показать/скрыть)

это ни чего не мелял, чтоб было более понятно, я подправил первый пост, там в конце скрипта приписано, раздача инета в локалку.
Через часик кое-что сделаю, попробую закрыть строки описанные выше, как получится отпишусь

[fisher74]

Повторяться не буду.
К тому же

-A POSTROUTING -j MASQUERADE

тоже криво сделано

[Vened]

консоль, канЭшн, круто, но попробуй webmin заюзать. Намного наглядней и понятней ИМХО.

[iks]

если перекрываю строку

Код: [Выделить]

iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IPне получается подключится к локальному компу по ssh с внешки, а перекрывая

Код: [Выделить]

iptables -A POSTROUTING -t nat -j MASQUERADEперестает работать инет в локальной машине.

На локалке (виртуалка) стоит debian, на нем установлен индеец, повторюсь все нормально отрабатывает по ssh и вызов http://192.168.0.2/ из основной машины обрабатывается нормально, ответ в локальной

Код: [Выделить]

$ ip r | grep default
default via 192.168.0.1 dev eth0

[fisher74]

если перекрываю строку

Код: [Выделить]

iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IPне получается подключится к локальному компу по ssh с внешки, а

Из внешки или с Вашего компошлюза?

перекрывая

Код: [Выделить]

iptables -A POSTROUTING -t nat -j MASQUERADEперестает работать инет в локальной машине.

А я и не говорил что это правило нужно убрать. Я сказал, что оно неправильно составлено. Оно показывает, что ВЕСЬ траффик нужно маскарадить. А это нужно только для траффика уходящего в интернет из локальной сети.

[iks]

Из внешки или с Вашего компошлюза?

из внешки, добавлены акки для парочки друзей, для них есть доступ с внешки, эта цепочка сейсас устраивает по ssh, надо правильно прописать цепочку для html чтоб нормально локалный комп был виден тоже с внешки
Порты на 192.168.0.2

Порт   Состояние   Сервис
22   открыт   ssh
80   открыт   www
111   открыт   sunrpc
53964   открыт   неизвестно

[fisher74]

У меня есть небольшие сомнения по поводу ошибочных правил:

iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport *

потому как дело происходит на виртуалке...
Не буду спорить, потому как с VirtualBox игрался пару раз всего.

[iks]

Да разницы то ни какой, поднят интерфейс vboxnet0 то-есть та-же локальная сеть связь идет через нее.

Код: [Выделить]

$ ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:80:48:3f:fe:c0 
          inet6 addr: fe80::280:48ff:fe3f:fec0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:46549 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26291 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:53128922 (53.1 MB)  TX bytes:2589468 (2.5 MB)
          Interrupt:16 Base address:0xa800

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:525 errors:0 dropped:0 overruns:0 frame:0
          TX packets:525 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:42248 (42.2 KB)  TX bytes:42248 (42.2 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:91.192.x.x  P-t-P:91.192.x.x  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:41096 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25732 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:51691718 (51.6 MB)  TX bytes:1989625 (1.9 MB)

vboxnet0  Link encap:Ethernet  HWaddr 0a:00:27:00:00:00 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::800:27ff:fe00:0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:368 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:55504 (55.5 KB)то-есть виртуалка работает как отдельная машина, связаная с реальной через vboxnet0 (виртуальная сетевая карта)

[fisher74]

Это для Вас нет разницы. Вот Вы и ляпаете правила те, что увидели и "вроде подходят". А ядру с ними работать и виртуалка живёт внутри машины, потому и не знаю. как iptables  с этим мирятся.

P.S. Сорри, если сгрубил.

[iks]

Код: [Выделить]

iptables -t nat -A OUTPUT -d $EXT_IP -p tcp --dport $LanHTML_PORT -j DNAT --to-destination $LAN_IPто-же гложат сомнения с этим правилом, где-то тут похоже собака порылась

[iks]

Сейчас ни чего не меняя попробовал перенаправить по 80 порту

Код: [Выделить]

#!/bin/bash

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -F
iptables -X

#####################################################################

EXT_IP=91.192.x.x # внешний, реальный IP-адрес
INT_IP=192.168.0.1 # внутренний IP-адрес локальной сети
LAN_IP=192.168.0.2 # внутренний IP-адрес сервера
EXT_IF=ppp0 # внешний интерфейс
INT_IF=vboxnet0 # внутренний интерфейс
SSH_PORT=22 # ssh порт
HTML_PORT=8080 # html внешний порт
LanHTML_PORT=80 # html порт виртуалки

ifconfig vboxnet0 $INT_IP

##### Перенапрвления по портам в локальную сеть #####

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SSH_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SSH_PORT -j ACCEPT


#iptables -A INPUT -p tcp --dport $HTML_PORT -m state --state NEW -j ACCEPT

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $LanHTML_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $LanHTML_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $LanHTML_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp --dport $LanHTML_PORT -j ACCEPT

##### Раздача интернета в локалку #####

iptables -A FORWARD -i $EXT_IF -o $INT_IF -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT,NEW -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

exit 0все отработало нормально, а на разных портах совсем что-то не хочет.

P.S. Это чистый тест был, зацикливать 80 порт само собой не хочется )

[iks]

Пока решил через такой костыль

Код: [Выделить]

#!/bin/bash

iptables -t nat -N RED
iptables -t nat -A RED -p tcp --dport 8080 -j REDIRECT --to 80
iptables -t nat -A PREROUTING -i eth0 -j RED
iptables -t nat -A OUTPUT -o lo -j REDв виртуалкев основной машине использую такой скрипт

Код: [Выделить]

#!/bin/bash

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -F
iptables -X

#####################################################################

EXT_IP=91.192.x.x # внешний, реальный IP-адрес
INT_IP=192.168.0.1 # внутренний IP-адрес локальной сети
LAN_IP=192.168.0.2 # внутренний IP-адрес сервера
EXT_IF=ppp0 # внешний интерфейс
INT_IF=vboxnet0 # внутренний интерфейс
SSH_PORT=22 # ssh порт
HTML_PORT=8080 # html внешний порт

ifconfig vboxnet0 $INT_IP

##### Перенапрвления по портам в локальную сеть #####

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SSH_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SSH_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SSH_PORT -j ACCEPT


iptables -A INPUT -p tcp --dport $HTML_PORT -m state --state NEW -j ACCEPT

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $HTML_PORT -j DNAT --to-destination $LAN_IP
iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $HTML_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $HTML_PORT -j DNAT --to-destination $LAN_IP
iptables -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp --dport $HTML_PORT -j ACCEPT

##### Раздача интернета в локалку #####

iptables -A FORWARD -i $EXT_IF -o $INT_IF -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT,NEW -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

exit 0открылся порт 8080 все нормально отрабатывается с внешки