Iptables проброс портов с внешки на внешку.

[lehanikolaev27]

Доброго времени суток, уважаемое сообщество.
Нужно пробросить порты с внешнего сервера (находится в Германии)(ip 1.2.3.4)
на другой внешний сервер (в России)( 5.6.7.8 ).
Посредством iptables.
пока что только изучаю Linux (и iptables в частности) (раньше все время имел дело с фряхой)
подскажите примерное правило на проброс по порту 25000 с одного адреса на другой.
Заранее спасибо.

[fisher74]

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 25000 -j DNAT --to-destination 5.6.7.8

[lehanikolaev27]

а форварды не нужны? или построуты?

Пользователь решил продолжить мысль 06 Сентября 2012, 14:30:51:Спасибо огромное за помощь. Разобрался. работает так:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 25000 -j DNAT --to-destination 5.6.7.8
iptables -t nat -A POSTROUTING -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j SNAT --to-source 1.2.3.4
iptables -t nat -A FORWARD -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j ACCEPT

еще раз спасибо.

[fisher74]

iptables -t nat -A POSTROUTING -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j SNAT --to-source 1.2.3.4

Это если хотите, чтобы все запросы шли от имени Вашего интерфейса и ответный шёл тоже через Вас.

iptables -t nat -A FORWARD -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j ACCEPT

1. В таблице nat цепочки FORWARD нет, поэтому как у Вас это правило сработало не понятно.
2. Исходя из 1 и из назначения этого правила (фильтрация), это правило нужно поместить в таблицу filter.
3 Это правило в цепочке FORWARD таблицы filter нужно, если дефолтное правило DROP

[lehanikolaev27]

Признаю. описался.
правило должно быть

Код: [Выделить]

iptables -A FORWARD -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j ACCEPT

[olegik-hp]

А если требуется перенаправить на _другой_ порт?

То есть было 1.2.3.4:25000

Надо отправлять на 5.6.7.8:25555

?

Как это настроить?

iptables -t nat -A POSTROUTING -d 5.6.7.8 -p tcp -m tcp --dport 25000 -j SNAT --to-source 1.2.3.4

Это если хотите, чтобы все запросы шли от имени Вашего интерфейса и ответный шёл тоже через Вас.

Как отказаться от пересылки через меня?

[fisher74]

А если требуется перенаправить на _другой_ порт?
То есть было 1.2.3.4:25000
Надо отправлять на 5.6.7.8:25555

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 25000 -j DNAT --to-destination 5.6.7.8:25555Может всё-таки хотя бы абзац прочитаете в оисании iptables? А?

Это если хотите...

Как отказаться от пересылки через меня?

Ну ответ же сам напрашивается: не применяйте это правило.

[olegik-hp]

А если требуется перенаправить на _другой_ порт?
То есть было 1.2.3.4:25000
Надо отправлять на 5.6.7.8:25555

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 25000 -j DNAT --to-destination 5.6.7.8:25555Может всё-таки хотя бы абзац прочитаете в оисании iptables? А?

Это если хотите...

Как отказаться от пересылки через меня?

Ну ответ же сам напрашивается: не применяйте это правило.

Спасибо. Почитаю. Не применю.