Доступ к внутреннему серверу по внешнему адресу (проброс портов)

[onezerone]

Настроил проброс портов по статье
http://sudouser.org.ua/index.php?newsid=10

Вот не до конца работающий кусок

Код: [Выделить]

# Открываю порт 9090 на сервер 192.168.0.10
iptables -t nat -A PREROUTING -p tcp -i $IFACE_WAN --dport 9090 -j DNAT --to 192.168.0.10:9090
iptables -t nat -A POSTROUTING --dst 192.168.0.10 -p tcp --dport 9090 -j SNAT --to-source $IP_LAN
iptables -t nat -A OUTPUT --dst $IP_WAN -p tcp --dport 9090 -j DNAT --to-destination 192.168.0.10
iptables -I FORWARD 1 -i $IFACE_WAN -o eth0 -d 192.168.0.10 -p tcp -m tcp --dport 9090 -j ACCEPT

Остальные правила

Код: [Выделить]

# разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i $IFACE_WAN -o $IFACE_WAN -j ACCEPT
# разрешаем ответы из внешней сети
iptables -A FORWARD -i $IFACE_WAN -o $IFACE_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i $IFACE_WAN -o $IFACE_LAN -j REJECT

# Влючаю прозрачность пакетов
iptables -t nat -A POSTROUTING -o $IFACE_WAN -s 192.168.0.0/24 -j MASQUERADE



Порт пробрасывается, и без проблем виден из вне. Но вот при попытке обратиться по внешнему IP (dns) из внутренней сети пакеты где-то глохнут. Описанная в статье строчка с подменой адреса отправителя шлюзом не помогает.
iptables -t nat -A POSTROUTING --dst 192.168.0.10 -p tcp --dport 9090 -j SNAT --to-source $IP_LAN


Вариант прописать локальный DNS не подойдет, т.к. могут быть разные сервера на разные порты.
Подскажите плиз, как сделать видимым из локалки проброшенный извне в локалку сервер по внешнему DNS?

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save?

[onezerone]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save?

Код: [Выделить]

PUT -i eth1 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9191 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.22/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.156/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.199/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Mon Nov 26 11:30:38 2012
PUT: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9191 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9090 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.20/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.22/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.156/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -d 192.168.0.199/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -i eth1 -o eth1 -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A: command not found
root@TELECOR:~# -A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A: command not found
root@TELECOR:~# -A OUTPUT -o lo -j ACCEPT
-A: command not found
root@TELECOR:~# -A OUTPUT -o eth0 -j ACCEPT
-A: command not found
root@TELECOR:~# COMMIT
COMMIT: command not found
root@TELECOR:~# # Completed on Mon Nov 26 11:30:38 2012
root@TELECOR:~# clear
root@TELECOR:~# ip a ; ip r ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 1c:6f:65:d7:1c:07 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::1e6f:65ff:fed7:1c07/64 scope link
       valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:09:3b:f0:1a:40 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.10/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::209:3bff:fef0:1a40/64 scope link
       valid_lft forever preferred_lft forever
default via 10.0.0.1 dev eth1  metric 100
10.0.0.0/24 dev eth1  proto kernel  scope link  src 10.0.0.10
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1
# Generated by iptables-save v1.4.12 on Mon Nov 26 11:35:48 2012
*nat
:PREROUTING ACCEPT [5936:647411]
:INPUT ACCEPT [1831:184935]
:OUTPUT ACCEPT [597:41203]
:POSTROUTING ACCEPT [597:41203]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 33890 -j DNAT --to-destination 192.168.0.20:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 33892 -j DNAT --to-destination 192.168.0.22:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 33893 -j DNAT --to-destination 192.168.0.156:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 33894 -j DNAT --to-destination 192.168.0.199:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.0.10:9090
-A PREROUTING -i eth1 -p tcp -m tcp --dport 9191 -j DNAT --to-destination 192.168.0.10:9191
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.10:8080
-A OUTPUT -d МОЙ_EXT_IP/32 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.0.10
-A OUTPUT -d МОЙ_EXT_IP/32 -p tcp -m tcp --dport 9191 -j DNAT --to-destination 192.168.0.10
-A OUTPUT -d МОЙ_EXT_IP/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.10
-A POSTROUTING -d 192.168.0.10/32 -o eth0 -p tcp -m tcp --dport 9090 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -d 192.168.0.10/32 -p tcp -m tcp --dport 9091 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -d 192.168.0.10/32 -p tcp -m tcp --dport 8080 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Nov 26 11:35:48 2012
# Generated by iptables-save v1.4.12 on Mon Nov 26 11:35:48 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [52194:11789231]
:OUTPUT ACCEPT [1623:191153]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9191 -j ACCEPT
-A FORWARD -d 192.168.0.10/32 -i eth1 -o eth0 -p tcp -m tcp --dport 9090 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.22/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.156/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.199/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Mon Nov 26 11:35:48 2012