Здраствуйте, столкнулся с проблемой проброса служб через NAT не могу открыть ни один порт ни 23 80 задача открыть доступ к DSL модему настроенному в режиме моста доступ с перенаправлением порта, поскольку на шлюзе уже работает LAMP.
iptables-save
root@home-server:~# iptables-save
# Generated by iptables-save v1.4.10 on Tue Mar 12 09:09:14 2013
*filter
:INPUT ACCEPT [46:4968]
:FORWARD ACCEPT [1314:1111552]
:OUTPUT ACCEPT [339:33604]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tap1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i tap1 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i tap1 -p tcp -m tcp --dport 8300 -j ACCEPT
-A INPUT -i tap1 -p tcp -m multiport --dports 139,445 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i ra0 -j ACCEPT
-A INPUT -i eth0:1 -j ACCEPT
-A INPUT -i ppp10 -p tcp -m tcp --dport 1615 -j ACCEPT
-A INPUT -i ppp10 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp10 -p tcp -m tcp --dport 8383 -j ACCEPT
-A INPUT -i ppp10 -p tcp -m tcp --dport 1768 -j ACCEPT
-A INPUT -i ppp10 -p tcp -m tcp --dport 8389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8385 -j ACCEPT
-A INPUT -s 85.173.223.6/32 -i ppp10 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i ppp10 -p udp -m udp --dport 9987 -j DROP
-A INPUT -p tcp -j DROP
COMMIT
# Completed on Tue Mar 12 09:09:14 2013
# Generated by iptables-save v1.4.10 on Tue Mar 12 09:09:14 2013
*mangle
:PREROUTING ACCEPT [7022:8268506]
:INPUT ACCEPT [411:39098]
:FORWARD ACCEPT [1314:1111552]
:OUTPUT ACCEPT [345:35096]
:POSTROUTING ACCEPT [1659:1146648]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar 12 09:09:14 2013
# Generated by iptables-save v1.4.10 on Tue Mar 12 09:09:14 2013
*nat
:PREROUTING ACCEPT [5369:7091747]
:INPUT ACCEPT [97:7491]
:OUTPUT ACCEPT [1:86]
:POSTROUTING ACCEPT [1:86]
-A PREROUTING -d 85.173.211.112/32 -i ppp10 -p tcp -m tcp --dport 23 -j DNAT --to-destination 10.117.254.1
-A POSTROUTING -s 10.117.254.6/32 -o ppp10 -j MASQUERADE
-A POSTROUTING -s 10.117.254.133/32 -o ppp10 -j MASQUERADE
-A POSTROUTING -s 10.116.0.0/24 -o ppp10 -j MASQUERADE
-A POSTROUTING -s 10.117.254.69/32 -o ppp10 -j MASQUERADE
-A POSTROUTING -s 10.117.254.1/32 -p tcp -m tcp --dport 23 -j SNAT --to-source 85.173.211.112
-A POSTROUTING -s 10.117.254.68/32 -d 93.191.13.103/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 10.117.254.68/32 -d 83.239.152.240/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 10.117.254.68/32 -p tcp -m tcp --dport 5190 -j MASQUERADE
-A POSTROUTING -s 10.117.254.68/32 -d 62.183.48.45/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 10.117.254.68/32 -d 188.93.63.158/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 10.117.254.68/32 -d 188.93.63.191/32 -p tcp -m tcp --dport 80 -j MASQUERADE
COMMIT
# Completed on Tue Mar 12 09:09:14 2013
root@home-server:~#
интерфейсы
root@home-server:~# ifconfig
br0 Link encap:Ethernet HWaddr 00:1e:8c:1c:f4:61
inet addr:10.117.254.2 Bcast:10.117.254.255 Mask:255.255.255.0
inet6 addr: fe80::21e:8cff:fe1c:f461/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:24986786 errors:0 dropped:0 overruns:0 frame:0
TX packets:24002761 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:15935463020 (15.9 GB) TX bytes:13707157137 (13.7 GB)
eth0 Link encap:Ethernet HWaddr 00:1e:8c:1c:f4:61
inet6 addr: fe80::21e:8cff:fe1c:f461/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71978312 errors:3 dropped:0 overruns:0 frame:3
TX packets:24008285 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2762976064 (2.7 GB) TX bytes:929633034 (929.6 MB)
Interrupt:43 Base address:0xe000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2271 errors:0 dropped:0 overruns:0 frame:0
TX packets:2271 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:186355 (186.3 KB) TX bytes:186355 (186.3 KB)
ppp10 Link encap:Point-to-Point Protocol
inet addr:85.173.211.112 P-t-P:83.239.153.139 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:1591492 errors:0 dropped:0 overruns:0 frame:0
TX packets:1255518 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:975557398 (975.5 MB) TX bytes:127546744 (127.5 MB)
tap0 Link encap:Ethernet HWaddr c2:e2:9d:cf:ef:5e
inet6 addr: fe80::c0e2:9dff:fecf:ef5e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:36200 errors:0 dropped:0 overruns:0 frame:0
TX packets:325846 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3189933 (3.1 MB) TX bytes:22749482 (22.7 MB)
tap1 Link encap:Ethernet HWaddr f6:62:84:27:cc:3f
inet addr:10.116.0.1 Bcast:10.116.0.255 Mask:255.255.255.0
inet6 addr: fe80::f462:84ff:fe27:cc3f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:688148 errors:0 dropped:0 overruns:0 frame:0
TX packets:636821 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:83263054 (83.2 MB) TX bytes:321768396 (321.7 MB)
root@home-server:~#
описание br0 связывает проводную локалку eth0 и tap0 eth0 смотрит в локалку в которую среди прочих подключен модем. модем в режиме моста. адрес его 10.117.254.1 tap0 смотрит на пограничный VPS на который смотрит в свою очередь сервер моего друга, на VPS выполняется пересылка пакетов из одной сети в другую. ppp10 понятно внешний интерфейс. tap1 на этот интерфейс раздается интернет в полном объеме, а в локалку отдается только аська и несколько сайтов. Чтобы организовать проброс портов на внешнем интерфейсе я добавил
iptables -t nat -A PREROUTING -i ppp10 -p tcp -d 85.173.211.112 --dport 23 -j DNAT --to-destination 10.117.254.1
iptables -t nat -A POSTROUTING -p tcp -s 10.117.254.1 --dport 23 -j SNAT --to-source 85.173.211.112 (MASQUERADE тоже писал)
Проверку осуществляю с помощью NMAP на работе
ebarchuk@paritet-gate:~$ nmap 85.173.211.112 -p 23
Starting Nmap 5.21 (
http://nmap.org ) at 2013-03-12 09:06 VOLT
Nmap scan report for dsl-85-173-211-112.avtlg.ru (85.173.211.112)
Host is up (0.062s latency).
PORT STATE SERVICE
23/tcp filtered telnet
естественно телнет не открывается на работе.
такая же ситуация с перенаправлением 80 порта:
iptables -t nat -A PREROUTING -i ppp10 -p tcp -d 85.173.211.112 --dport 1313 -j DNAT --to-destination 10.117.254.1:80
iptables -t nat -A POSTROUTING -p tcp -s 10.117.254.1 --dport 80 -j SNAT --to-source 85.173.211.112:1313
где я ошибся, подскажите пожалуйста, спасибо заранее
Пользователь решил продолжить мысль 12 Марта 2013, 11:02:54:
какая еще нужна информация ? форвардинг включен.