iptables port forwarding - проблема

[Joster]

Добрый день, у меня проблема не работает порт фомардинг, раньше работало а сейчас нет
2 сети
внешняя eth0 (1.1.1.1)
внутреняя eth1 (2.2.2.1)

есть сервер во внутренней сети с вэб сайтом на 82 порту на него то и надо дать доступ
пользовался вот таким правилом
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 82 -j DNAT --to-destination 2.2.2.2:82

вот вывод iptables
iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 71677 packets, 3843K bytes)
 pkts bytes target     prot opt in     out     source               destination
   10   484 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:82 to:2.2.2.2:82

Chain POSTROUTING (policy ACCEPT 15040 packets, 978K bytes)
 pkts bytes target     prot opt in     out     source               destination
   68  4053 SNAT       all  --  *      *       2.2.2.2      0.0.0.0/0           to:1.1.1.1

Chain OUTPUT (policy ACCEPT 5075 packets, 379K bytes)
 pkts bytes target     prot opt in     out     source               destination

-------
сделал "echo 1 > /proc/sys/net/ipv4/ip_forward"

нат для этой машины в интернет работает

[fisher74]

пользовался вот таким правилом
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 82 -j DNAT --to-destination 2.2.2.2:82

Мне кажется так будет правильней

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 1.1.1.1 --dport 82 -j DNAT --to-destination 2.2.2.2:82

[Joster]

Не помогло, Nmap говорит что порт filtred

[fisher74]

А в построутинге что-то какая хрень
Может лучше сделать так?

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1
P.S. И покажи результирующие правила как nat так и filter, а то может у тебя в FORWARD дропится

Код: [Выделить]

sudo iptables-save

[Joster]

# Generated by iptables-save v1.4.2 on Tue Feb  8 15:46:37 2011
*filter
:INPUT ACCEPT [586931:383154648]
:FORWARD ACCEPT [26906:1515527]
:OUTPUT ACCEPT [540978:256239740]
COMMIT
# Completed on Tue Feb  8 15:46:37 2011
# Generated by iptables-save v1.4.2 on Tue Feb  8 15:46:37 2011
*nat
:PREROUTING ACCEPT [145339:7859691]
:POSTROUTING ACCEPT [37656:2483613]
:OUTPUT ACCEPT [16927:1225039]
-A PREROUTING -d 1.1.1.1/32 -i eth0 -p tcp -m tcp --dport 82 -j DNAT --to-destination 2.2.2.2:82
-A POSTROUTING -s 2.2.2.2/32 -j SNAT --to-source 1.1.1.1
-A POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Tue Feb  8 15:46:37 2011


-- не помогло

[fisher74]

Ну а ошмётки кто уберёт?

Код: [Выделить]

sudo iptables -t nat -D POSTROUTING -s 2.2.2.2/32 -j SNAT --to-source 1.1.1.1Пользователь решил продолжить мысль 08 Февраля 2011, 14:03:06:Кстати, nmap-ом откуда тестишь?

[Joster]

неа не арбайтен

[fisher74]

Кстати, nmap-ом откуда тестишь?

[Joster]

с другого сервера с другой сети

[fisher74]

Давайте так попробуем:

Код: [Выделить]

sudo iptables-save
nmap -P0 -p 82 2.2.2.2

[Joster]

PORT   STATE  SERVICE
82/tcp closed xfer

[fisher74]

Вы уверены, что на 2.2.2.2 хоть что-нибудь работает?

Вы, кстати, первую команду пропустили. И обе их надо было делать на шлюзе

[Joster]

vault:/home/joster# iptables-save
# Generated by iptables-save v1.4.8 on Tue Feb  8 17:28:08 2011
*nat
:PREROUTING ACCEPT [2134:134044]
:POSTROUTING ACCEPT [1468:102239]
:OUTPUT ACCEPT [1033:75012]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.201.201:82
-A POSTROUTING -s 192.168.201.201/32 -j SNAT --to-source 80.237.68.65
COMMIT
# Completed on Tue Feb  8 17:28:08 2011

надоело перепечатывать ip

да все на этом ресурсе работает

[Mam(O)n]

1. По-хорошему на шлюзе команда nmap -P0 192.168.201.201 -p 82 должна показать статуc open. Если closed, то получается, что запросы с шлюза на узле 192.168.201.201 не обрабатываются либо прикрыты файрволом. Это нормальное поведение узла 192.168.201.201?

2. На узле 192.168.201.201 "маршрут по умолчанию" должен быть через данный шлюз. Это так?

[fisher74]

Одно делаете, другое теряете
Делайте

sudo iptables -t nat -D PREROUTING -i eth0 -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.201.201:82
sudo iptables -t nat -A PREROUTING -i eth0 -d 80.237.68.65 -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.201.201:82
sudo iptables -t nat -D POSTROUTING -s 192.168.201.201/32 -j SNAT --to-source 80.237.68.65
sudo iptables -t nat -A POSTROUTING -o eth0 -s 192.168.201.201/32 -j SNAT --to-source 80.237.68.65

Про 82 порт на 192.168.201.201 уважаемый Mam(O)n уже оговорился.