Неправильное опеределение ИП Адресов при форвардинге портов

[domet]

В общем ситуация такая, стоит ротуре с 2мя внешними интерфейсами и один который смотрит во внутрь сети. На роутере настроен dnsmasq и dhcp через него. Сделал проброс порта 6600 на радмин во внутрь сети. Все работает отлично, но теперь один нюанс. Подключился к радмину и в статистике подключений отображает внешний ип роутера 1го провайдера а не ип того компа с которого я подключился. как это исправить, перерыл половина инета и нечего стоящего не нашел.

Спасибо:)   

[podkovyrsty]

У вас там snat не затерся в друзья случаем?

Покажите
ifconfig
iptables-save.

[domet]

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:80:48:29:9b:95
          inet addr:192.168.0.254  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::280:48ff:fe29:9b95/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:893754 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1111475 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:356277627 (356.2 MB)  TX bytes:1014374491 (1.0 GB)
          Interrupt:10 Base address:0xd800

eth1      Link encap:Ethernet  HWaddr 00:1a:4b:8a:68:53
          inet addr:10.6.8.8  Bcast:10.6.8.255  Mask:255.255.255.0
          inet6 addr: fe80::21a:4bff:fe8a:6853/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:983352 errors:1094 dropped:2 overruns:1 frame:0
          TX packets:339328 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:729830140 (729.8 MB)  TX bytes:64063571 (64.0 MB)
          Interrupt:11 Base address:0xdc00

eth2      Link encap:Ethernet  HWaddr 1c:6f:65:2b:c8:34
          inet addr:10.101.50.83  Bcast:10.101.63.255  Mask:255.255.224.0
          inet6 addr: fe80::1e6f:65ff:fe2b:c834/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15428630 errors:0 dropped:0 overruns:0 frame:0
          TX packets:553206 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1344014147 (1.3 GB)  TX bytes:266406134 (266.4 MB)
          Interrupt:12 Base address:0xe000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:293 errors:0 dropped:0 overruns:0 frame:0
          TX packets:293 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:30665 (30.6 KB)  TX bytes:30665 (30.6 KB)

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Tue Apr 26 18:12:03 2011
*nat
:PREROUTING ACCEPT [4702:361821]
:OUTPUT ACCEPT [15:1009]
:POSTROUTING ACCEPT [15:1009]
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Tue Apr 26 18:12:03 2011
# Generated by iptables-save v1.4.4 on Tue Apr 26 18:12:03 2011
*filter
:INPUT ACCEPT [6599:588793]
:FORWARD ACCEPT [1726:184808]
:OUTPUT ACCEPT [503:34143]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth2 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Apr 26 18:12:03 2011

както так


Пользователь решил продолжить мысль 26 Апреля 2011, 10:18:00:Перенаправление портов поисходит через rinetd.

[censor]

в фильтрах каша полная.
DNAT вообще отсутствует.
Пользователь решил продолжить мысль 26 Апреля 2011, 10:19:44:

Перенаправление портов поисходит через rinetd.

а какой смысл? iptables не справляется в перенаправлением портов?

[domet]

Чувак который админил данное видимо решил что так будет лучше..

[podkovyrsty]

У меня был друг, у которого был друг, который "админил" ...
Не перекладывайте ответственность.

У вас ACCEPT правила, которые при -P ACCEPT не нужны.
Машина стоит раскрытая.

Форвардинг через демона - вот в нем и затык вашего IP адреса.

Взялись? - Разбирайтесь и исправляйте, не оставляйте недоделанным.

[domet]

Окей, сейчас будем разбираться. Конечно не оставлю, в течении некоторого времени все сделаем
Пользователь решил продолжить мысль 27 Апреля 2011, 07:58:49:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Wed Apr 27 15:57:07 2011
*nat
:PREROUTING ACCEPT [673239:55193645]
:OUTPUT ACCEPT [129:9877]
:POSTROUTING ACCEPT [281:18295]
-A PREROUTING -d 10.101.50.83/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.101:80
-A PREROUTING -d 10.101.50.83/32 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.100:6600
-A PREROUTING -d 10.6.8.8/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.101:80
-A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 27 15:57:07 2011
# Generated by iptables-save v1.4.4 on Wed Apr 27 15:57:07 2011
*filter
:INPUT DROP [108:10522]
:FORWARD ACCEPT [496:408854]
:OUTPUT ACCEPT [41:4257]
-A INPUT -s 192.168.0.1/32 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -d 224.0.0.0/4 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth2 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6600 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.0.101/32 -i eth2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.0.100/32 -i eth2 -p tcp -m tcp --dport 6600 -j ACCEPT
-A FORWARD -d 192.168.0.101/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 14 -j DROP
COMMIT
# Completed on Wed Apr 27 15:57:07 2011

теперь все выглядит так, но почемуто проброса пакетов нет. Вот хоть убей.