Настройка Фаервола Затык на пробросах портов

[genialen]

Проблема в следующем! не могу разобраться как прокинуть порт на другой сервер.
Вот вся информация о системе

Linux DC2 2.6.31-14-generic-pae #48-Ubuntu SMP Fri Oct 16 15:22:42 UTC 2009 i686 GNU/Linux

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 9.10
Release:        9.10
Codename:       karmic

iptables v1.4.4

Вот конфиг!

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
        GORKOM="eth1"
        GORKOMIP="xx.xxx.xxx.xxx"
        LAN="eth0"
        LANIP="192.168.1.2"
        LAN_LAN="192.168.1.0/24"
        SERVER="192.168.1.1"

        /sbin/modprobe ip_tables
        /sbin/modprobe ip_conntrack
        /sbin/modprobe iptable_filter
        /sbin/modprobe iptable_mangle
        /sbin/modprobe iptable_nat
        /sbin/modprobe ipt_LOG
        /sbin/modprobe ipt_limit
        /sbin/modprobe ipt_state
        /sbin/modprobe ipt_owner
        /sbin/modprobe ipt_REJECT
        /sbin/modprobe ipt_MASQUERADE
        /sbin/modprobe ip_conntrack_ftp
        /sbin/modprobe ip_conntrack_irc
        /sbin/modprobe ip_nat_ftp
        /sbin/modprobe ip_nat_irc
        /sbin/modprobe xt_tcpudp
        /sbin/modprobe ipt_tos
        /sbin/modprobe ipt_TOS
        /sbin/modprobe ipt_multiport
        /sbin/modprobe ipt_TCPMSS
        /sbin/modprobe ipt_ttl




        iptables -F INPUT
        iptables -F FORWARD
        iptables -F OUTPUT
        iptables -t nat -F PREROUTING
        iptables -t nat -F POSTROUTING
        iptables -t mangle -F

 
        #Разрешаем SSH

        iptables -A INPUT -p tcp --dport 22 -j ACCEPT
        iptables -A FORWARD -s $LAN_LAN -p tcp --dport 22 -i $LAN -j ACCEPT

        #Пробрасываем порт 3128 на терминальный сервер

        iptables -t nat -A PREROUTING -d $GORKOMIP -p TCP --dport 3128 -j DNAT --to-destination $SERVER:3128
        iptables -A FORWARD -p TCP -d $SERVER --dport 3128 -j ACCEPT









        iptables -t nat -A POSTROUTING -o $GORKOM -j SNAT --to-source $GORKOMIP
        echo "1" > /proc/sys/net/ipv4/ip_forward

        iptables -P INPUT DROP
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT

После запуска скрипта ошибок нет но и работать не работает.
Мужики неделю бьюсь и немогу сообразить как это сделать, столько уже вариантов перепробывал а толку нет. Что я не так сделал? ман открыт 24 часа в сутки читаю его стабильно с 9.00 до 19.00
Пробую и так и эдак ниче неполучается
Вот пробывал и по этой статье http://www.opennet.ru/base/net/debian_router.txt.html
так это пипец лезут ошибки сплошные ошибки...............

[Mam(O)n]

а) sudo iptables-save; ifconfig -a; sysctl net.ipv4.ip_forward в студ под спойлер!
б) Как проверяешь работоспособность? Откуда, куда, чем, какие адреса вводишь?

[genialen]

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

ev@DC2:/etc$ sudo iptables-save
[sudo] password for ev:
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:36:02 2010
*nat
:PREROUTING ACCEPT [10563:988395]
:POSTROUTING ACCEPT [310:23308]
:OUTPUT ACCEPT [655:49678]
-A PREROUTING -d 95.143.210.198/32 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth1 -j SNAT --to-source xx.xxx.xxx.xxx
COMMIT
# Completed on Wed Oct  6 12:36:02 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:36:02 2010
*mangle
:PREROUTING ACCEPT [61404:25230417]
:INPUT ACCEPT [53854:24539530]
:FORWARD ACCEPT [1096:90491]
:OUTPUT ACCEPT [43299:18096805]
:POSTROUTING ACCEPT [44496:18206528]
COMMIT
# Completed on Wed Oct  6 12:36:02 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:36:02 2010
*filter
:INPUT ACCEPT [1365:137226]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8748:3379611]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
COMMIT
# Completed on Wed Oct  6 12:36:02 2010

ifconfig -a

(Нажмите, чтобы показать/скрыть)

[sudo] password for ev:
          RX packets:48584 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23009 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14038986 (14.0 MB)  TX bytes:6677560 (6.6 MB)
          Interrupt:26 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 00:21:91:f4:69:50
          inet addr:xx.xxx.xxx.xxx  Bcast:xx.xxx.xxx.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fef4:6950/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5594 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3562 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:517680 (517.6 KB)  TX bytes:532584 (532.5 KB)
          Interrupt:23 Base address:0x2800

eth2      Link encap:Ethernet  HWaddr 00:04:76:a2:66:2a
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:20 Base address:0x6c00

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:27628 errors:0 dropped:0 overruns:0 frame:0
          TX packets:27628 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14608037 (14.6 MB)  TX bytes:14608037 (14.6 MB)

vmnet1    Link encap:AMPR NET/ROM  HWaddr
          inet addr:172.16.115.1  Mask:255.255.255.0
          UP RUNNING  MTU:0  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:3228210971 carrier:4140178064
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

vmnet8    Link encap:AMPR NET/ROM  HWaddr
          inet addr:192.168.233.1  Mask:255.255.255.0
          UP RUNNING  MTU:0  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:4140645760 carrier:3986321152
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

sysctl net.ipv4.ip_forward

(Нажмите, чтобы показать/скрыть)

ev@DC2:/etc$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

пытаюсь войти по ip внешнему провайдера на порт 3128. IP Провайдера статический. По рдп. Скомпьютера другого провайдера, там все открыто на выход.

[Mam(O)n]

На данный момент мешает коннекту следующее правило:

Код: [Выделить]

-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable


[genialen]

не а. Не помогло

(Нажмите, чтобы показать/скрыть)

ev@DC2:/etc$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:54:40 2010
*nat
:PREROUTING ACCEPT [12407:1188144]
:POSTROUTING ACCEPT [336:25720]
:OUTPUT ACCEPT [681:52300]
-A PREROUTING -d 95.143.210.198/32 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -o eth1 -j SNAT --to-source xx.xxx.xxx.198
COMMIT
# Completed on Wed Oct  6 12:54:40 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:54:40 2010
*mangle
:PREROUTING ACCEPT [74144:30411543]
:INPUT ACCEPT [65000:29554626]
:FORWARD ACCEPT [1255:99001]
:OUTPUT ACCEPT [52231:21430492]
:POSTROUTING ACCEPT [53594:21550625]
COMMIT
# Completed on Wed Oct  6 12:54:40 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 12:54:40 2010
*filter
:INPUT ACCEPT [125:10302]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1191:436874]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
COMMIT
# Completed on Wed Oct  6 12:54:40 2010

[Unreg]

RDP использует TCP/3389
Пользователь решил продолжить мысль 06 Октября 2010, 13:01:21:да и правила фильтрации транзитного трафика значения не имеют - Forward по умолчанию ACCEPT стоит
Пользователь решил продолжить мысль 06 Октября 2010, 13:03:38:192.168.1.1 - это адрес интерфейса на каком устройстве?

[genialen]

RDP использует TCP/3389
Пользователь решил продолжить мысль 06 Октября 2010, 13:01:21:да и правила фильтрации транзитного трафика значения не имеют - Forward по умолчанию ACCEPT стоит
Пользователь решил продолжить мысль 06 Октября 2010, 13:03:38:192.168.1.1 - это адрес интерфейса на каком устройстве?

ааай, сори с портом я чет тупанул. Но всеже это не помогло.

[Mam(O)n]

А с адресом не тупанул ли случаем? ifconfig -a вывод у тебя урезанный проверить не могу.

[Гарри Кашпировский]

iptables -t nat -A PREROUTING -d $GORKOMIP -p TCP --dport 3128 -j DNAT --to-destination $SERVER:3128

А не перепутан ли адрес источника с адресом назначения?

[Mam(O)n]

$GORKOMIP это судя по всему у него адрес данного шлюза.

ТС, не затирай адреса, все равно 95.143.210.198 уже спалил, а твои правки лишь усложняют диагностику проблемы.

[genialen]

192.168.1.1 - это адрес интерфейса на каком устройстве?

Windows server 2008

sudo iptables-save
на данный момент

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Oct  6 13:31:40 2010
*nat
:PREROUTING ACCEPT [19420:1715128]
:POSTROUTING ACCEPT [403:31816]
:OUTPUT ACCEPT [738:58715]
-A PREROUTING -d 95.143.210.198/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1:3389
-A POSTROUTING -o eth1 -j SNAT --to-source 95.143.210.198
COMMIT
# Completed on Wed Oct  6 13:31:40 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 13:31:40 2010
*mangle
:PREROUTING ACCEPT [104098:40929295]
:INPUT ACCEPT [91938:39791537]
:FORWARD ACCEPT [1583:116465]
:OUTPUT ACCEPT [74662:28316928]
:POSTROUTING ACCEPT [76379:28460895]
COMMIT
# Completed on Wed Oct  6 13:31:40 2010
# Generated by iptables-save v1.4.4 on Wed Oct  6 13:31:40 2010
*filter
:INPUT ACCEPT [8876:2883963]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14370:4157643]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -p tcp -m tcp --dport 3389 -j ACCEPT
COMMIT
# Completed on Wed Oct  6 13:31:40 2010

Нет с адресом точно неошибся,

iptables -t nat -A PREROUTING -d $GORKOMIP -p TCP --dport 3389 -j DNAT --to-destination $SERVER:3389

А не перепутан ли адрес источника с адресом назначения?

Адрес источника я так понимаю внешний ИП это $GORKOMIP а назначение $SERVER Адреса нет непутал проверил еще раз.

Пользователь решил продолжить мысль 06 Октября 2010, 13:34:04:Адрес источника я так понимаю внешний ИП это $GORKOMIP а назначение $SERVER Адреса нет непутал проверил еще раз.

[Гарри Кашпировский]

Адрес источника я так понимаю внешний ИП это $GORKOMIP а назначение $SERVER Адреса нет непутал проверил еще раз.

Так почему ты его в адрес назначения пихаешь?

[Mam(O)n]

Еще раз, ifconfig eth0

[Гарри Кашпировский]

Адрес источника я так понимаю внешний ИП это $GORKOMIP а назначение $SERVER Адреса нет непутал проверил еще раз.

Так почему ты его в адрес назначения пихаешь?

По твоему правилу все пакеты которые направляются на $GORKOMIP идут на $SERVER.
А с чего бы этим пакетам на $GORKOMIP идти?
ya.ru как бэ не $GORKOMIP ни разу.
Я бы ещё понял, все пакеты пришедшие с $GORKOMIP идут на $SERVER.
Но это --source $GORKOMIP а не --destination $GORKOMIP

[genialen]

Еще раз, ifconfig eth0

eth0   - Это внутренняя сеть

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr e0:cb:4e:d7:33:a3
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::e2cb:4eff:fed7:33a3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:83685 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41241 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:25558675 (25.5 MB)  TX bytes:12045706 (12.0 MB)
          Interrupt:26 Base address:0xe000

eth1 - Это внешняя $GORKOM

(Нажмите, чтобы показать/скрыть)

eth1      Link encap:Ethernet  HWaddr 00:21:91:f4:69:50
          inet addr:95.143.210.198  Bcast:95.143.210.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fef4:6950/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11131 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7687 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:883267 (883.2 KB)  TX bytes:765375 (765.3 KB)
          Interrupt:23 Base address:0x2800

Адрес источника я так понимаю внешний ИП это $GORKOMIP а назначение $SERVER Адреса нет непутал проверил еще раз.

Так почему ты его в адрес назначения пихаешь?

$SERVER Назначение
$GORKOMIP Источник
Пакеты пришедшие на $GORKOMIP транслируются на $SERVER        Разве нет?

Так почему ты его в адрес назначения пихаешь?

А почему нет?

По твоему правилу все пакеты которые направляются на $GORKOMIP идут на $SERVER.
А с чего бы этим пакетам на $GORKOMIP идти?

ya.ru как бэ не $GORKOMIP ни разу.
Я бы ещё понял, все пакеты пришедшие с $GORKOMIP идут на $SERVER.
Но это --source $GORKOMIP а не --destination $GORKOMIP
[/quote]
Вот тут я чет теперь и непойму А почему пакеты не идут на GORKOMIP Это внешний ИП провайдера! на него я и пытаюсь законнектиться а он должен перекинуть на SERVER по 3389 порту! Разве нет?