Проброс портов из одной подсети в другую

[Sheffdop]

Всем добрый день!
Имеется две подсети (192.168.1.0/255 и 192.168.10.0/255) соединенных между собой VPN-каналом, VPN настроен на роутерах. В каждой подсети имеется шлюз на Debian 6 (канал интернета разный), но используется в основном только один (назовем его основным),второй настраивался для экспериментов и наработки опыта Так же на основном шлюзе поднят Squid, все две подсети сидят через прокси.
Основной шлюз:
ifconfig

(Нажмите, чтобы показать/скрыть)

eth1      Link encap:Ethernet  HWaddr 00:16:ec:6e:8e:43 
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::216:ecff:fe6e:8e43/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29530579 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15758693 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2905749009 (2.7 GiB)  TX bytes:653053654 (622.8 MiB)
          Interrupt:20 Base address:0x4000

eth3      Link encap:Ethernet  HWaddr 00:50:ba:5c:2e:08 
          inet addr:195.82.x.x  Bcast:195.82.x.x  Mask:255.255.255.224
          inet6 addr: fec0::a:250:baff:fe5c:2e08/64 Scope:Site
          inet6 addr: 2002:c0c0:a07:a:250:baff:fe5c:2e08/64 Scope:Global
          inet6 addr: fe80::250:baff:fe5c:2e08/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22998617 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10619078 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2037645046 (1.8 GiB)  TX bytes:1667833598 (1.5 GiB)
          Interrupt:19 Base address:0xec00

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:993292 errors:0 dropped:0 overruns:0 frame:0
          TX packets:993292 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:65052855 (62.0 MiB)  TX bytes:65052855 (62.0 MiB)

/etc/network/interfaces (не весь, убрал открытые порты, пробросы портов для почты и подобное)

(Нажмите, чтобы показать/скрыть)

auto lo eth1 eth3
iface lo inet loopback

iface eth1 inet static
   address 192.168.1.100
   netmask 255.255.255.0
   network 192.168.1.0
   broadcast 192.168.1.255

iface eth3 inet static
        address 195.82.x.x
        netmask 255.255.255.224
        gateway 195.82.x.x
        broadcast 195.82.x.x
        network 195.82.x.x
        dns-nameservers 212.17.x.x 212.17.x.x

up route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.1.1
post-up iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
post-up iptables -t nat -A PREROUTING -p tcp -d 192.168.1.100 --dport 3290 -j DNAT --to-destination 82.200.18.82:3290
post-up iptables -t nat -A PREROUTING -p tcp -d 195.82.x.x --dport 337 -j DNAT --to-destination 192.168.1.110:3389
post-up iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
post-up iptables -A INPUT -s 127.0.0.1 -j ACCEPT
post-up iptables -P OUTPUT ACCEPT
post-up iptables -P INPUT DROP

Дополнительный шлюз:
ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:c0:26:a7:56:1e 
          inet addr:195.82.x.x  Bcast:195.82.x.x  Mask:255.255.255.224
          inet6 addr: fe80::2c0:26ff:fea7:561e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4704573 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4556626 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4175590235 (3.8 GiB)  TX bytes:567568075 (541.2 MiB)
          Interrupt:19 Base address:0xb000

eth1      Link encap:Ethernet  HWaddr 00:11:5b:73:c2:5f 
          inet addr:192.168.10.100  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::211:5bff:fe73:c25f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4720355 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3795045 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:581275327 (554.3 MiB)  TX bytes:4036235364 (3.7 GiB)
          Interrupt:23 Base address:0xb400

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:688 (688.0 B)  TX bytes:688 (688.0 B)

/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo eth1 eth0
iface lo inet loopback

iface eth1 inet static
        address 192.168.10.100
        netmask 255.255.255.0    
        network 192.168.10.0
        broadcast 192.168.10.255

iface eth0 inet static
        address 195.82.x.x
        netmask 255.255.255.224    
        gateway 195.82.x.x
        broadcast 195.82.x.x
        network 195.82.x.x
        dns-nameservers 212.17.x.x 212.17.x.x

up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1

post-up iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
post-up iptables -t nat -A PREROUTING -p tcp -d 195.82.x.x --dport 3389 -j DNAT --to-destination 192.168.10.201:3389
post-up iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
post-up iptables -A INPUT -s 127.0.0.1 -j ACCEPT
post-up iptables -P OUTPUT ACCEPT
post-up iptables -P INPUT DROP

Так вот, как видно из правил iptables, на каждом шлюзе проброшен порт RDP на машинку. Если в первом случае из вне можно спокойно подключиться, то во втором такое не проходит. Не могу понять почему так происходит, настройки же одинаковые? И еще, может можно как-то из подсети 1.0/255 пробросить порт на машинку в подсеть 10.0/255? Т.к. канал во второй подсети очень медленный! Хотелось бы получить ответ на оба вопроса. Сил уже нету бороться, не хватает знаний, нахожусь в процессе изучения, но эту проблему надо решить срочно! Сразу благодарю всех откликнувшихся!

[fisher74]

Не пробовали прозрачную адресацию между оффисами открыть? И не надо будет никаких бубнов с маскарадами и портфорвардами.
На больном цепочку FORWARD покажите
На первом маскарада нет, потому может сервер RDP на втором может потеряться. Надо смотреть таблицы маршрутизации ещё на предполагаемых клиентах и сервере.

[Sheffdop]

Маскарад на первом есть, просто случайно удалил строчку. Что за прозрачная адресация?

[fisher74]

Прозрачная (может и не правильно назвал) - это когда клиенты с разных сетей видят друг-друга по родным адресам, без маскарадов.
Т.е. клиент 192.168.1.113 для доступа к 192.168.10.201 работает именно с этим адресом, а не с адресом шлюза.

[Sheffdop]

Ну маскарад в моем случае нужен, чтобы nat работал. По родным адресам все машинки видны, за это отвечает строка up route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.1.1
Или я что-то путаю?

[fisher74]

но всё "ломает" маскарад и до абонента доходит пакет с source-адресом шлюза
исправит ввод доп условия в маскарад

sudo iptables -t nat -A POSTROUTING ! -d 192.168.10.0/24 -o eth0 -j MASQUERADE

Но вопрос-то в том, что нужно из вне подключаться. то есть не от соседа по VPN-сети. Правильно? В этом проблема?
Пользователь решил продолжить мысль 08 Сентября 2011, 11:52:49:И повторюсь

На больном цепочку FORWARD покажите

[Sheffdop]

sudo iptables -t nat -A POSTROUTING ! -d 192.168.10.0/24 -o eth0 -j MASQUERADE

Это условие на каком из шлюзов вводить? Что-то я совсем запутался...

Но вопрос-то в том, что нужно из вне подключаться. то есть не от соседа по VPN-сети. Правильно? В этом проблема?

Все верно, по VPN все работает.

На больном цепочку FORWARD покажите

Забыл в тот пост написать, что у меня эта цепочка отсутствует на обеих шлюзах.

[censor]

FORWARD есть по умолчанию, наличие/отсутствие правил обусловлено политикой применимой по умолчанию к данной цепочке, и если политика ACCEPT то правила прописывать не требуется

[fisher74]

sudo iptables -t nat -A POSTROUTING ! -d 192.168.10.0/24 -o eth03 -j MASQUERADE

Это условие на каком из шлюзов вводить? Что-то я совсем запутался...

Надо со схемой до конца разобраться.
Правило я предложил для основного вместо

iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

только с интерфейсом промахнулся (в цитате исправился)

Но вопрос-то в том, что нужно из вне подключаться. то есть не от соседа по VPN-сети. Правильно? В этом проблема?

Все верно, по VPN все работает.

А 195.82.x.x это внешний адрес? Я же так понял, что eth0 через железный роутер включен. Там порт поброшен?
Пользователь решил продолжить мысль 08 Сентября 2011, 14:20:01:А понял. Сервера включены непосредственно к провайдерам, а роутеры соединяющие оффисы находятся по локалкам и с интернетом не связаны.
Пользователь решил продолжить мысль 08 Сентября 2011, 14:21:59:А у 192.168.10.201 с дефолтным шлюзом всё нормально? Он может через шлюз ответить?

[Sheffdop]

С этим правилом, увы, тоже не работает. А если вообще попробовать избавиться от дополнительного шлюзика? Да eth0 подключен к роутеру, роутер имеет адрес 1.1 в одной подсети и 10.1 в другой. Нет, на роутерах порт не пробрасывал. А обойти это никак нельзя? Ведь проброс для почтового сервера работает на ура!195.82.x.x - внешка.

А у 192.168.10.201 с дефолтным шлюзом всё нормально? Он может через шлюз ответить?

Поясните, пожалуйста, как именно проверить!

[fisher74]

на 192.168.10.201

Код: [Выделить]

route print
nslookup ya.ru 8.8.8.8
tracert ya.ru

[Sheffdop]

Код: [Выделить]

route print

(Нажмите, чтобы показать/скрыть)

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 23 54 bf 12 f8 ...... Realtek PCIe GBE Family Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.10.1  192.168.10.201       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
     192.168.10.0    255.255.255.0   192.168.10.201  192.168.10.201       20
   192.168.10.201  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.10.255  255.255.255.255   192.168.10.201  192.168.10.201       20
        224.0.0.0        240.0.0.0   192.168.10.201  192.168.10.201       20
  255.255.255.255  255.255.255.255   192.168.10.201  192.168.10.201       1
Основной шлюз:        192.168.10.1
===========================================================================
Постоянные маршруты:
  Отсутствует

Код: [Выделить]

nslookup ya.ru 8.8.8.8

(Нажмите, чтобы показать/скрыть)

DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 8.8.8.8: Timed out
Server:  UnKnown
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

Код: [Выделить]

tracert ya.ru

(Нажмите, чтобы показать/скрыть)

Не удается разрешить системное имя узла ya.ru.

Забавно, пинги тоже никуда не идут, но интернет на машинке есть. Может это из-за того, что в сети поднят dnsmasq, о котором я забыл упомянуть.

[fisher74]

Ну вот и всё понятно.
201-ый скорее всего получает пакеты по 3389, но ответить не может. Точнее, скорее всего отвечает, но пакеты мрут на 192.168.10.1

[Sheffdop]

Т.е. дальше роутера не идут? И какие варианты решения проблемы есть? Только на роутере пробрасывать порт?

[fisher74]

разрешить 201-ому ходить в фуллнет с --sport 3389. Путь не Важен