Проброс портов в Ubuntu 10.10

[Bars]

Доброе время суток.

задача:
необходимо пробросить с внешнего ip-адреса 11.22.33.44 порт 8209 (eth0) на ПК во внутренней сети 192.168.1.250 порт 80.

делаю так:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8209 -j DNAT --to-destination 192.168.1.250:80   

на сервере с ОС ubuntu 10.04 - работает. На сервере с ОС ubuntu 10.10 - нет.

Вопрос знатокам: что нужно еще сделать в 10.10, чтобы работал проброс.

[Kraggash]

Доброе время суток.

задача:
необходимо пробросить с внешнего ip-адреса 11.22.33.44 порт 8209 (eth0) на ПК во внутренней сети 192.168.1.250 порт 80.

делаю так:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8209 -j DNAT --to-destination 192.168.1.205:80   

на сервере с ОС ubuntu 10.04 - работает. На сервере с ОС ubuntu 10.10 - нет.

Вопрос знатокам: что нужно еще сделать в 10.10, чтобы работал проброс.

Вижу очепятку, это только на форуме или и на сервере?

[Bars]

to Kraggash:

пардон. опечатка на форуме.
 
исправил.

[Kraggash]

Я не очень сильный знаток, но может пригодится мой пример проброса:

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp -m tcp --dport $NOD32_PORT -j DNAT --to-destination $LAN_NOD32MIRROR_IPПорт правда в моем примере не меняется.

[Bars]

to Kraggash

меняю порт в целях безопасности, например если пробросить порт радмина 4899 на ПК в сети, то на внешний делаю например 7668. Чтоб китайская разведка не догадалась. А если делать 4899 на 4899 - получается дыра для импералистических шпионов.

[Kraggash]

  Надо будет мне тоже порты позаменить.

[Bars]

интересно получается:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8209 -j DNAT --to-destination 192.168.1.10:80

iptables -t nat -A PREROUTING -d 11.22.33.44 -p tcp -m tcp --dport 8209 -j DNAT --to-destination 192.168.1.10:80

где 192.168.1.10 - eth1 на сервере

Оба варианта работают.....

но если указать айпишник ПК - не алё...

[AnrDaemon]

А форвардинг пакетов вообще разрешен?

[Kraggash]

Вот еще что может быть, нужно разрешить форвардинг до ПК

Код: [Выделить]

iptables -A FORWARD -m tcp -p tcp -d 192.168.x.x --dport 80 -j ACCEPT

[Bars]

sysctl.conf:

net.ipv4.ip_forward=1
Пользователь решил продолжить мысль 03 Декабря 2010, 02:03:45:

Вот еще что может быть, нужно разрешить форвардинг до ПК

Код: [Выделить]

iptables -A FORWARD -m tcp -p tcp -d 192.168.x.x --dport 80 -j ACCEPT

попробовал... не робит

[AnrDaemon]

Полностью iptables-save под спойлер.

[roma333]

Ну и любопытства ради можно еще привести less /proc/sys/net/ipv4/ip_local_port_range

[Bars]

Полностью iptables-save под спойлер.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Dec  3 15:32:48 2010
*nat
:PREROUTING ACCEPT [84:10184]
:OUTPUT ACCEPT [10:824]
:POSTROUTING ACCEPT [9:684]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8209 -j DNAT --to-destination 192.168.1.250:80
-A POSTROUTING -p tcp -j MASQUERADE
COMMIT
# Completed on Fri Dec  3 15:32:48 2010

Пользователь решил продолжить мысль 03 Декабря 2010, 15:37:41:

Ну и любопытства ради можно еще привести less /proc/sys/net/ipv4/ip_local_port_range

(Нажмите, чтобы показать/скрыть)

32768   61000

[roma333]

Полностью iptables-save под спойлер.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Dec  3 15:32:48 2010
*nat
:PREROUTING ACCEPT [84:10184]
:OUTPUT ACCEPT [10:824]
:POSTROUTING ACCEPT [9:684]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8209 -j DNAT --to-destination 192.168.1.250:80
-A POSTROUTING -p tcp -j MASQUERADE
COMMIT
# Completed on Fri Dec  3 15:32:48 2010

Пользователь решил продолжить мысль 03 Декабря 2010, 15:37:41:

Ну и любопытства ради можно еще привести less /proc/sys/net/ipv4/ip_local_port_range

(Нажмите, чтобы показать/скрыть)

32768   61000

А где INPUT и FORWARD?

[Bars]

to roma333:

спасибо за подсказку. заработал.