Battle.net IPTABLES

[chikatillo]

Есть инет-кафе, ubuntu-server, 2 интерфейса 1-lan, 2 -provider(статический ip); Есть warkraft и Battle.net;
Что бы создавать игру Battle.net нужно на комп(192.168.1.6) в сети пробросить порты:
iptables -A FORWARD -i $INET_IFACE -d 192.168.1.6 -p tcp --dport 6112:6119 -j
$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp -m multiport --dports 6112:6119 -j DNAT --to-destination 192.168.1.6

Проблема в следующем - когда создаешь игру на 192.168.1.6 все остальные компы в сети не могу зайти в  Battle.net, и не видят созданню игру... А должны спокойно ходить в Battle.net и подключатся к хосту(как буд-то они в одной сети)
Я так понимаю что когда хост в локальной сети создает то все запросы по этим портам идут на 192.168.1.6...Надо как -то сделать что бы компы в сети понимали что хост находится в локальной сети и не занимал порты (как-то так )....

[podkovyrsty]

iptables -A FORWARD -i $INET_IFACE -d 192.168.1.6 -p tcp --dport 6112:6119 -j
Щито?

[chikatillo]

iptables -A FORWARD -i $INET_IFACE -d 192.168.1.6 -p tcp --dport 6112:6119 -j
Щито?

Ну поидее разрешаем форвардинг в этом направлении, собестенно как по инструкции на опеннете -"Проброс порта внутрь сети через NAT в Linux"
и в тоже время пропускаем всю сеть
$IPTABLES -A FORWARD -p TCP --dport 6112:6119 -s $LAN_IP_RANGE -j ACCEPT
Че-то намутил?

[podkovyrsty]

покажи iptables-save

[chikatillo]

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [901261:81186652]
:POSTROUTING ACCEPT [373361:22908136]
:OUTPUT ACCEPT [331605:26694339]
-A PREROUTING -d xxx.xxx.xxx/32 -p tcp -m multiport --dports 6112:6119 -j DNAT --to-destination 192.168.1.6
-A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dports 80,8080,1000 -j REDIRECT --to-ports 3128
-A POSTROUTING ! -s xxx.xx.xxx.xxx/32 -o eth2 -j SNAT --to-source xxx.xxxx.xxx.xxx
COMMIT
# Completed on Mon May 30 22:26:18 2011
# Generated by iptables-save v1.4.4 on Mon May 30 22:26:18 2011
*mangle
:PREROUTING ACCEPT [212719441:67190569745]
:INPUT ACCEPT [48541843:44795877882]
:FORWARD ACCEPT [164170494:22394236135]
:OUTPUT ACCEPT [47575471:48767351122]
:POSTROUTING ACCEPT [211729547:71156345661]
COMMIT
# Completed on Mon May 30 22:26:18 2011
# Generated by iptables-save v1.4.4 on Mon May 30 22:26:18 2011
*filter
:INPUT DROP [1:78]
:FORWARD DROP [11:1609]
:OUTPUT DROP [9:6124]
:SSH_CHECK - [0:0]
:bad_tcp_packets - [0:0]
:inet_in - [0:0]
:inet_out - [0:0]
:local_in - [0:0]
:local_out - [0:0]
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 808 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 4949 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 2021 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp -m tcp --dport 3000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -i eth2 -j inet_in
-A INPUT -i eth1 -j local_in
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IN DROP: " --log-level 6
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 5 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 2222 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 808 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 5050 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p udp -m udp --sport 1025:65535 -j ACCEPT
-A FORWARD -i eth2 -p tcp -m tcp --dport 5900 -j ACCEPT
-A FORWARD -d 192.168.0.0/16 -i eth2 -p tcp -m tcp --dport 6112:6119 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 2099 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 5222:5223 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 8393:8400 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 1024:1025 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 28900:30000 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 3000:3300 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 16500:16600 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 20000:30000 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 27014:27050 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 6112:6119 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 3724:3725 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 6881:6999 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 6112:6119 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 1119:1120 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 8400:8500 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 8085:8090 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 2009 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 2106 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 7777 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 10241 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 10000:10100 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 47600:47700 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 19600:19700 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 7400:7500 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 8600:8700 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FWD DROP: " --log-level 6
-A FORWARD -j DROP
-A OUTPUT -p tcp -m tcp --dport 5900 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -d 192.168.0.0/16 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -d 192.168.0.0/16 -p tcp -m tcp --sport 808 -j ACCEPT
-A OUTPUT -o eth1 -j local_out
-A OUTPUT -o eth2 -j inet_out
-A OUTPUT -o eth2 -p tcp -m tcp --sport 2222 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUT DROP: " --log-level 6
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j REJECT --reject-with icmp-port-unreachable
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A inet_in -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A inet_in -p tcp -m tcp --dport 2222 -j ACCEPT
-A inet_in -p udp -m udp --sport 123 -j ACCEPT
-A inet_in -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "inet_in DROP: " --log-level 6
-A inet_in -j DROP
-A inet_out -j ACCEPT
-A local_in -p tcp -m tcp --dport 139 -j ACCEPT
-A local_in -p udp -m udp --dport 136:138 -j ACCEPT
-A local_in -p tcp -m tcp --sport 5900 -j ACCEPT
-A local_in -s 192.168.0.0/16 -d 192.168.1.254/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A local_in -p tcp -m tcp --dport 2222 -j ACCEPT
-A local_in -p tcp -m tcp --dport 80 -j ACCEPT
-A local_in -s 192.168.0.0/16 -p udp -m udp --dport 123 -j ACCEPT
-A local_in -s 192.168.0.0/16 -p tcp -m tcp --dport 445 -j ACCEPT
-A local_in -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "local_in DROP: " --log-level 6
-A local_in -j DROP
-A local_out -j ACCEPT
COMMIT

[podkovyrsty]

Вы в скрипте, которым эти правила засандаливали, разобрались?
Чую что нет, потому как тут у вас и исходящие и входящие порезаны туго.
Без подробного описания какие сессии и куда открывает батл нет - не разберешься.

[chikatillo]

Да вроде разобрался, этот чуть переделанный мой скрипт....
Единственное что вместо:
-A FORWARD -d 192.168.0.0/16 -i eth2 -p tcp -m tcp --dport 6112:6119 -j ACCEPT
Изночально было так -A FORWARD -d 192.168.1.6 -i eth2 -p tcp -m tcp --dport 6112:6119 -j ACCEPT
Коннект к бателнету происхождит через внешний сервер(Алкар геймс), для того что бы подключатся к другим внешним игрокам  нужны порты 6112:6119, что бы хостить они должы быть доступны в наружу с локального компа(хоста), в данной проблеме я так понимаю когда хостит 192.168.1.6 и порты 6112:6119 начинают заварачиватся на него - вот сдесь и проблема т.к. не понятно как должны пакеты отправляемые на алкар с других компов с локальной сети используя эти же порты для подключения возвращатся назад в локальную сеть на хост, да и после того как хост начинает хостить локальные компы не могут ваще не куда подключится...

Warcraft III:  
Allow port 6112 TCP out and allow established sessions in  
Allow port 6112 TCP in (hosting custom games)  
Allow port 6113-6119 TCP out and in (hosting custom games if you’ve changed the default port in the Options/Gameplay screen)  

Думаю может попробовать заворачивать один порт хосту, кстати в самом варкрафте можно поменять этот порт на любой другой..Да и еще вроде говарится что UDP тоже надо заворачивать а у меня этого нет.

[podkovyrsty]

Ога, потому что поиск сервера происходит как раз по UDP.
Помню была даже какая-то самописная программа, для инкапсуляции этого дела, под винду.

Так что копайте дальше. Нужно точно знать необходимый и достаточный траффик для работы баттл нета, тогда будет понятно как его завернуть.

[chikatillo]

Поменял порт в игре на 6150 у хоста, добавил udp , можно хостить, толпа с инета заходит, компы в локальной сети могут заходить в игры хостов с инета, но подключится к хосту в сети не возможно , сделал tcpdump клиента:
192.168.100.246 - клиент в сети

(Нажмите, чтобы показать/скрыть)

6:02:44.932066 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 1320520849:1320520872, ack 1334701199, win 64240, length 23
16:02:44.946184 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 1:1461, ack 23, win 65535, length 1460
16:02:44.946377 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 1461:2921, ack 23, win 65535, length 1460
16:02:44.946391 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 2921:3044, ack 23, win 65535, length 123
16:02:44.947034 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [.], ack 3044, win 64240, length 0
16:02:45.025702 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 23:43, ack 3044, win 64240, length 20
16:02:45.039834 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 3044:3126, ack 43, win 65535, length 82
16:02:45.056869 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 43:61, ack 3126, win 64158, length 18
16:02:45.172708 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], ack 61, win 65535, length 0
16:02:46.349925 IP 192.168.100.246.49227 > xxxxxxxxxx.6150: Flags , seq 739252051, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:02:49.341215 IP 192.168.100.246.49227 > xxxxxxxxxx.6150: Flags , seq 739252051, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:02:52.881448 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 61:84, ack 3126, win 64158, length 23
16:02:52.896152 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 3126:4586, ack 84, win 65535, length 1460
16:02:52.896300 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 4586:6046, ack 84, win 65535, length 1460
16:02:52.896313 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 6046:6174, ack 84, win 65535, length 128
16:02:52.897898 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [.], ack 6174, win 64240, length 0
16:02:55.345139 IP 192.168.100.246.49227 > xxxxxxxxxx.6150: Flags , seq 739252051, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:02:57.893235 ARP, Request who-has 192.168.100.246 tell server.pesch.com, length 28
16:02:57.893926 ARP, Reply 192.168.100.246 is-at 00:30:1b:28:00:fd (oui Unknown), length 46
16:02:59.919405 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 84:104, ack 6174, win 64240, length 20
16:02:59.936695 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 6174:6264, ack 104, win 65535, length 90
16:02:59.968114 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 104:122, ack 6264, win 64150, length 18
16:03:00.082770 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], ack 122, win 65535, length 0
16:03:00.822727 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 122:145, ack 6264, win 64150, length 23
16:03:00.837157 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 6264:7724, ack 145, win 65535, length 1460
16:03:00.837277 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 7724:9184, ack 145, win 65535, length 1460
16:03:00.837293 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 9184:9276, ack 145, win 65535, length 92
16:03:00.838396 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [.], ack 9276, win 64240, length 0
16:03:08.773573 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [P.], seq 145:168, ack 9276, win 64240, length 23
16:03:08.787562 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 9276:10736, ack 168, win 65535, length 1460
16:03:08.787673 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [.], seq 10736:12196, ack 168, win 65535, length 1460
16:03:08.787686 IP zhaba.alkar.net.6112 > 192.168.100.246.49220: Flags [P.], seq 12196:12337, ack 168, win 65535, length 141
16:03:08.788406 IP 192.168.100.246.49220 > zhaba.alkar.net.6112: Flags [.], ack 12337, win 64240, length 0

Думаю проблема в
16:02:57.893235 ARP, Request who-has 192.168.100.246 tell server.pesch.com, length 28
16:02:57.893926 ARP, Reply 192.168.100.246 is-at 00:30:1b:28:00:fd (oui Unknown), length 46
Что делать?

[podkovyrsty]

Проблема в чем - неверный мак?

[chikatillo]

Проблема в чем - неверный мак?

Эти строчки говорят что неверный мак?Не пойму причем тут мак...
В чем тогда проблема,как iptables должен понимать что это локальная сеть...?
Начнем по очереди, клиент конектится на сервак алкара по порту 6112, сервак алкара отвечает что хост находится xxx.6150(мой айпи),клиент возвращается назад и тут:
[mss 1460,nop,nop,sackOK], length 0
16:02:57.893235 ARP, Request who-has 192.168.100.246 tell server.pesch.com, length 28
16:02:57.893926 ARP, Reply 192.168.100.246 is-at 00:30:1b:28:00:fd (oui Unknown), length 46

Вот нашел туже проблему но не пойму как он ее решил - http://forums.gentoo.org/viewtopic-t-674501.html

[podkovyrsty]

DNAT-ом и SNAT-ом
вчитывайся

[chikatillo]

DNAT-ом и SNAT-ом
вчитывайся

DNAT у меня есть POSTROUTING SNAT попробовать?
$IPTABLES -t nat -A POSTROUTING -p tcp -s 120.0.3.3 --sport 6113 -j SNAT --to 111.111.111.111:6113
 $IPTABLES -t nat -A POSTROUTING -p udp -s 120.0.3.3 --sport 6113 -j SNAT --to 111.111.111.111:6113

[podkovyrsty]

Я бы попробовал адаптировать его сет под твою схему, накатить и посмотреть - как будет работать, а потом сравнить с тем, что у тебя было и понять где собака.

[chikatillo]

Вот это зачем, зачем клиенту:
echo -e " - Settings for 120.0.3.3" # client 1
 $IPTABLES -t nat -A PREROUTING -p tcp --dport 6113 -i $EXTIF -j DNAT --to 120.0.3.3
 $IPTABLES -t nat -A PREROUTING -p udp --dport 6113 -i $EXTIF -j DNAT --to 120.0.3.3

 $IPTABLES -t nat -A POSTROUTING -p tcp -s 120.0.3.3 --sport 6113 -j SNAT --to 111.111.111.111:6113
 $IPTABLES -t nat -A POSTROUTING -p udp -s 120.0.3.3 --sport 6113 -j SNAT --to 111.111.111.111:6113

 $IPTABLES -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 6113 -j DNAT --to-destination 120.0.3.3:6113
 $IPTABLES -t nat -A PREROUTING -p udp -d 111.111.111.111 --dport 6113 -j DNAT --to-destination 120.0.3.3:6113

Или это он имел ввиду второй хост в сети, нафига тогда клиентом обзывать...