Проброс портов внутри сети [РЕШЕНО]

[SamSom]

Существует такая дилемма. У меня есть сервачок со статичным АйПи (с навешаным на него доменом) он раздаёт интернет во внутреннюю локалку. Раздаёт без нареканий всё тип топ, но. Есть задача пробросить 1 порт так чтобы извне смотреть видео наблюдение  . Я благополучно всё настроил извне всё ок. Внутри если начальник приходит со своим смартфоном, подключается к Wi-Fi в офисе, всё торба приплыли. Обращаясь в смартфоне (да собственно и на любом компе внутри локалки) на адрес нашего сайта (и соответствующего порта) получаем  фигу.
Внимание вопрос, что настроить в iptables.rules

Вариант со сменой адреса сайта (указать на внутренний адрес компа на котором видео наблюдение) не канает так как это геморно туда сюда менять.

Кусок iptables.rules

Код: [Выделить]

-A FORWARD -s 192.168.1.1/32 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth0 -j ACCEPT

-A PREROUTING -d 91.X.X.X/32 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.1:80
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 91.X.X.X
-A POSTROUTING -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 91.X.X.X


[censor]

в iptables tutorial подробно расписана такая ситуация на примере 80 порта

[fisher74]

Вообще-то эта ситуация рассматривается в туториале в пункте 6.5.2

P.S. Какие-то ..... сегодня убрали из wiki описание работы iptables. А жаль... мне там было более понятно, чем в опеннетовском описании  .

[SamSom]

Господа всё бы было прекрасно и я может даже бы и настроил если бы я внутренний 80 порт вешал на внешний 80, а мне нужно внутренний 80 на внешний 4444 (или любой другой) порт навесить. И тут у меня случается ступор.

Я в этом деле баран. Я не отрицаю и было бы время я бы изучал мануалы и экспериментировал, но сейчас просто некогда.

Если вас не затруднит дайте пожалуйста готовое решение.

[metal_mania]

Какие-то ..... сегодня убрали из wiki описание работы iptables. А жаль... мне там было более понятно, чем в опеннетовском описании  .

Да, тоже сегодня обнаружил. Пока слил страницу из истории правок...

[SamSom]

Ну помогите хоть кто нибудь

[censor]

fisher74 не поленился и нашел нужную инфу, носом практически ткнул в то мето где надо читать, но вам и это сложно.
добиваетесь чтобы вас открытом текстом нахер послали?

[Ariec]

Кусок мануала http://www.it-simple.ru/?p=2250:

(Нажмите, чтобы показать/скрыть)

С одной стороны, этих двух правил уже достаточно для того, чтобы любые клиенты за пределами локальной сети успешно подключались к внутреннему серверу. С другой - а что будет, если попытается подключиться клиент из локальной сети? Подключение просто не состоится: стороны не поймут друг друга.

Допустим, 192.168.0.333 - ip-адрес клиента внутри локальной сети.

сотрудник вводит в адресную строку браузера адрес webname.dom
компьютер обращается к DNS и разрешает имя webname.dom в адрес 1.2.3.4
маршрутизатор понимает, что это внешний адрес и отправляет пакет на шлюз
шлюз, в соответствии с нашим правилом, подменяет в пакете адрес 1.2.3.4 на 192.168.0.22, после чего отправляет пакет серверу
веб-сервер видит, что клиент находится в этой же локальной сети (обратный адрес пакета - 192.168.0.333) и пытается передать данные напрямую клиенту, в обход шлюза
клиент игнорирует ответ, потому что он приходит не с 1.2.3.4, а с 192.168.0.22
клиент и сервер ждут, ведут себя как «две целки на морозе», связи и обмена данными нет
Есть два способа избежать подобной ситуации.

Первый - чётко разграничивать обращения к серверу изнутри и извне.

Создать в локальном DNS-сервере A-запись для webname.dom, указывающую на 192.168.0.22.

Второй - с помощью того же iptables заменить обратный адрес пакета.
Правило должно быть добавлено после принятия решения о маршрутизации и перед непосредственной отсылкой пакета. То есть - в цепочке POSTROUTING таблицы nat.

Код: [Выделить]

iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP
iptables -t nat -A POSTROUTING --dst 192.168.0.22 -p tcp --dport 80 -j SNAT --to-source 192.168.0.1
Если пакет предназначен веб-серверу, то обратный адрес клиента заменяется на внутренний адрес шлюза.
Этим мы гарантируем, что ответный пакет тоже пойдёт через шлюз.

[SamSom]

Блин да я же нигде не писал, что я совсем мануалов не читал и по ним ничего не делал, но нифига не получается.

Что сейчас имею.
1 делом на нашем внутринем компике поменял таки порт с 80 на 4444, дабы проще было.
Итак имею 2 компа и 1 сервак(который раздаёт инет). 2 компа в интернете лазают без проблем. Извне обращение на порт 4444 работает. На серваке обращение к своему порту работает (проходит переадресация). Но на 2 двух компах обращение на порт 4444 сервачка ни к чему не приводит.

192.168.1.254 внутренний адрес сервачка (eth0), 91.Х.Х.Х внешний (eth1)

Код: [Выделить]

-A FORWARD -s 192.168.1.1/32 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.1.1/32 -i eth0 -j ACCEPT

-A FORWARD -s 192.168.1.20/32 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.1.20/32 -i eth0 -j ACCEPT
####
-A PREROUTING -d 91.X.X.X/32 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.1

-A POSTROUTING -d 192.168.1.1/32 -p tcp -m tcp --dport 4444 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 91.X.X.X

-A OUTPUT -d 91.X.X.X -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.1

Я никак не могу понять в чём партак то.

[Ariec]

Обращаешься к 192.168.1.254:4444 или к 91.X.X.X:4444 ?

[fisher74]

траффик от камеры на обратном ходу в локальную сеть через шлюз должна прикинуться с внешним адресом, то есть

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.1.1 -p tcp --dport 4444 -j SNAT  --to-source 91.X.X.X
И правило

Код: [Выделить]

-A OUTPUT -d 91.X.X.X -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.1никогда не отработает... ну только если с сервера будете на вебкамеру смотреть по внешнему адресу.

[SamSom]

Обращаешься к 192.168.1.254:4444 или к 91.X.X.X:4444 ?

к 192.168.1.254:4444 тут же получаю кукиш, а к 91.X.X.X:4444 долго тупим но ответ тот же

траффик от камеры на обратном ходу в локальную сеть через шлюз должна прикинуться с внешним адресом, то есть

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.1.1 -p tcp --dport 4444 -j SNAT  --to-source 91.X.X.X

Менял

-A POSTROUTING -d 192.168.1.1/32 -p tcp -m tcp --dport 4444 -j SNAT --to-source 192.168.1.254
и на
-A POSTROUTING -d 192.168.1.1/32 -p tcp -m tcp --dport 4444 -j SNAT --to-source 91.Х.Х.Х
и на
-A POSTROUTING -s 192.168.1.1/32 -p tcp -m tcp --dport 4444 -j SNAT --to-source 91.Х.Х.Х

Ответ тот же.
Что может ещё партачить?

[fisher74]

Я разве сказал МЕНЯТЬ?

[fisher74]

А. стоп... Вы для камеры внешний входящий траффик тоже чтоль натите? Зачем? Она не умеет со шлюзом работать?

И не разрешён транзит траффика с камеры после подмены адреса через eth0

Код: [Выделить]

sudo iptables -A FORWARD -s 91.Х.Х.Х/32 -o eth0 -j ACCEPT
А, вообще, попробуйте сами поанализировать с какими данными пакеты будут правилам блуждать. Всё-таки у Вас перед глазами все правила, а у нас только те, которые Вы думаете влияют на этот процесс

[SamSom]

А. стоп... Вы для камеры внешний входящий траффик тоже чтоль натите? Зачем? Она не умеет со шлюзом работать?

У меня не камера а комп вод Вендой с платой Споттер. И я пока пытаюсь видео победить так как пробрасывать порты нужно те только для этого.
Есть ещё КПК и им базу сливать/заливать на офисе через Вафлю нельзя пока АйПи не поменяешь, что тоже ещё тот изврат.

Восстановил всё в первоначальный вид.