Проблема с dnat

[mrZlodey]

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 192.168.45.251 --dport 3389 -j DNAT --to-destination 10.0.1.4:3389

Код: [Выделить]

*nat
:PREROUTING ACCEPT [4:644]
:POSTROUTING ACCEPT [5:347]
:OUTPUT ACCEPT [5:347]
-A PREROUTING -d 192.168.45.251/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.1.4:3389
COMMIT
Настроил dnat, пробую зайти на 192.168.45.251:3389 с сети 192.168.45.0/24 - не работает. Тогда убрал все правила, оставил только правило отвечающее за dnat - не работает.
Случайно заметил что с сети (192.168.46.0/24), которая по впн подключена к серверу 192.168.45.1 все работает как и должно быть. С 192.168.46.10 подключаясь к 192.168.45.251:3389 попадаю на 10.0.1.4:3389 - работает!
В чем проблема, из-за чего я не могу подключится с сети 192.168.45.0/24?

[podkovyrsty]

"не работает" ?
подобнее

[mrZlodey]

Порт закрыт для сети 192.168.45.0/24, зато нормально подбрасывается для подключений с сети 192.168.46.0/24.

[podkovyrsty]

Точно?
telnet 192.168.45.251 3389 что скажет?
покажите
ifconfig
iptables-save
route -n

с машины с днатом.

[mrZlodey]

telnet порт закрыт

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:0c:29:a7:d9:cf
          inet addr:192.168.2.5  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fea7:d9cf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:95 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17244 (16.8 KiB)  TX bytes:594 (594.0 B)
          Interrupt:18 Base address:0x1400

eth1      Link encap:Ethernet  HWaddr 00:0c:29:a7:d9:d9
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fea7:d9d9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:154 errors:0 dropped:0 overruns:0 frame:0
          TX packets:144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:53928 (52.6 KiB)  TX bytes:32315 (31.5 KiB)
          Interrupt:19 Base address:0x1480

eth2      Link encap:Ethernet  HWaddr 00:0c:29:a7:d9:e3
          inet addr:192.168.45.251  Bcast:192.168.45.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fea7:d9e3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4114 errors:0 dropped:0 overruns:0 frame:0
          TX packets:647 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:290520 (283.7 KiB)  TX bytes:96845 (94.5 KiB)
          Interrupt:16 Base address:0x1800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:149 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9823 (9.5 KiB)  TX bytes:9823 (9.5 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Код: [Выделить]

*nat
:PREROUTING ACCEPT [4:644]
:POSTROUTING ACCEPT [5:347]
:OUTPUT ACCEPT [5:347]
-A PREROUTING -d 192.168.45.251/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.1.4:3389
COMMIT

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.115.0   192.168.45.1    255.255.255.0   UG    0      0        0 eth2
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.116.0    192.168.45.1    255.255.255.0   UG    0      0        0 eth2
192.168.45.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0


[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=48583.0
https://forum.ubuntu.ru/index.php?topic=148437.msg1091261#msg1091261

[mrZlodey]

AnrDaemon

Код: [Выделить]

iptables -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dst 192.168.45.251 --dport 3389 -j DNAT --to-destination 10.0.1.4:3389

iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
Проблему не решило.

[fisher74]

10.0.1.4 знает где находится сеть 192.168.45.0/24?
Покажите на нём

Код: [Выделить]

route printP.S. Я так понимаю там окошки с RDP

[mrZlodey]

fisher74
Спасибо, не первый раз выручаешь.  Я как посмотрел на маршруты, сразу понял, что я забыл.  
Проблема была в том что кроме 10.0.1.4 есть еще один адрес в сети 192.168.45.0/24. Теперь как и планировалось он отключен, а вместо него работает dnat.