Не получается настроить проброс

[melvin]

это в interfaces у Вас внесено. А как Вы вносите правила непосредственно после изменения правил?
Вот полную последовательность опишите:
1 правлю iptables.up.rules
2. запускаю то-то
3. потом даю команду такую-то
4. проверяю - ни работаит, блин....

1. правлю
2.reboot
инет есть, проброса нет

[ArcFi]

ИМХО, строка ... самописная и не совсем по правилам...

iptables-restore видит синтаксические ошибки, а логика остаётся на совести правилописателя.

[fisher74]

Про логику я даже спорить не буду. А вот синтаксические ошибки ТС не может увидеть, так как он на этапе настройки загружает их ребутом всей системы.

melvin, так Вы никогда не настроите.
Вводите правила ручками, а уже потом, получив рабочий набор правил в системе выгружайте их средствами iptables-save. И уже потом используйте полученный бекап средствами iptables-restore в interfaces.
Пользователь решил продолжить мысль 13 Марта 2013, 13:01:06:

eth0 имеет 192.168.0.2 и смотрит в мир

Что там дальше стоит в сторону "мир"а?

[ArcFi]

А вот синтаксические ошибки ТС не может увидеть, так как он на этапе настройки загружает их ребутом всей системы.

Дык, пусть грузит руками, а не через ж^W^W ребутом.
Во всяком случае, пока не отладит.

[fisher74]

Да-да, полностью согласен.
Но мне кажется ему пока рано использовать iptables-restore в качестве отладочного инструмента. Лучше iptables - сразу видно прошла команда или нет.

[melvin]

Про логику я даже спорить не буду. А вот синтаксические ошибки ТС не может увидеть, так как он на этапе настройки загружает их ребутом всей системы.

melvin, так Вы никогда не настроите.
Вводите правила ручками, а уже потом, получив рабочий набор правил в системе выгружайте их средствами iptables-save. И уже потом используйте полученный бекап средствами iptables-restore в interfaces.
Пользователь решил продолжить мысль 13 Марта 2013, 13:01:06:

eth0 имеет 192.168.0.2 и смотрит в мир

Что там дальше стоит в сторону "мир"а?

Дальше Acces Poin 192.168.0.1 на котором проброшены порты на 192.168.0.2. Интернет поднимает 192.168.0.1 и раздает в 0.2
Пользователь решил продолжить мысль 13 Марта 2013, 13:31:44:

А вот синтаксические ошибки ТС не может увидеть, так как он на этапе настройки загружает их ребутом всей системы.

Дык, пусть грузит руками, а не через ж^W^W ребутом.
Во всяком случае, пока не отладит.

да понятно блин, что /etc/init.d/networking restart. Но...

[fisher74]

Я просто пытаюсь понять как у Вас интернет раздаётся, если правил в ядре нет.
Судя по всему AP на всю сеть раздаёт, используя получившуюся сквозную маршрутизацию локальной сети.

[melvin]

Я просто пытаюсь понять как у Вас интернет раздаётся, если правил в ядре нет.
Судя по всему AP на всю сеть раздаёт, используя получившуюся сквозную маршрутизацию локальной сети.

Сейчас вот так
  GNU nano 2.2.2                                       Файл: /etc/iptables.up.rules

# Generated by iptables-save v1.4.4 on Wed Mar 13 11:18:09 2013
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --dport 9025 -j ACCEPT
COMMIT
# Completed on Wed Mar 13 11:18:09 2013
# Generated by iptables-save v1.4.4 on Wed Mar 13 11:18:09 2013
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 13 11:18:09 2013
# Generated by iptables-save v1.4.4 on Wed Mar 13 11:18:09 2013
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A PREROUTING -p tcp -m tcp -i eth0 --dport 9025 -j DNAT --to-destination 192.168.1.251:3389
COMMIT
# Completed on Wed Mar 13 11:18:09 2013
И все равно не хочет подключаться к rdp

[fisher74]

Ну как Вы всё никак не пойсёте? Не нужен нам Ваш файл iptables.up.rules.
Показывайте ДЕЙСТВУЮШИЕ правила, полученные командой

Код: [Выделить]

sudo iptables-saveТогда поможем. Иначе только кириллицу зазря по интернету будем пинать...
Пользователь решил продолжить мысль 13 Марта 2013, 15:25:58:Хотя ладно. Судя по всему это ещё не сильно правленый дамп
При
*filter
:FORWARD ACCEPT [0:0]
это
-A FORWARD -p tcp -m tcp --dport 9025 -j ACCEPT
лишнее

Рекомендую ограничить локальной сетью
*nat
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Ну а непосредственно по теме
*nat
-A PREROUTING -p tcp -m tcp -i eth0 -d 192.168.0.2 --dport 9025 -j DNAT --to-destination 192.168.1.251:3389
Пользователь решил продолжить мысль 13 Марта 2013, 15:28:14:Если не работает показываем сетевую диагностику с 192.168.1.251

Код: [Выделить]

ipconfig /all
route print
ping 192.168.0.1
(в последней строке я не ошибся)

[melvin]

iptables-save

# Generated by iptables-save v1.4.4 on Wed Mar 13 14:14:41 2013
*nat
:PREROUTING ACCEPT [158:15608]
:POSTROUTING ACCEPT [1:48]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 192.168.0.2/32 -i eth0 -p tcp -m tcp --dport 9025 -j DNAT --to-destination 192.168.1.251:3389
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 13 14:14:41 2013
# Generated by iptables-save v1.4.4 on Wed Mar 13 14:14:41 2013
*mangle
:PREROUTING ACCEPT [2048:780917]
:INPUT ACCEPT [324:30724]
:FORWARD ACCEPT [1724:750193]
:OUTPUT ACCEPT [156:85188]
:POSTROUTING ACCEPT [1880:835381]
COMMIT
# Completed on Wed Mar 13 14:14:41 2013
# Generated by iptables-save v1.4.4 on Wed Mar 13 14:14:41 2013
*filter
:INPUT ACCEPT [324:30724]
:FORWARD ACCEPT [1724:750193]
:OUTPUT ACCEPT [156:85188]
COMMIT
# Completed on Wed Mar 13 14:14:41 2013

не работает

[fisher74]

Если не работает показываем сетевую диагностику с 192.168.1.251
Код: [Выделить]

ipconfig /all
route print
ping 192.168.0.1

(в последней строке я не ошибся)

Ну и брандмауэр смотрите. Окна частенько по дефолту ограничивают локальной сетью.

[melvin]

А собственно, причем здесь пинг на 192.168.0.1 с 1.251

[fisher74]

При том, что если на 1.251 косяки с работой через шлюз, то проброс так же не будет работать

[melvin]

При том, что если на 1.251 косяки с работой через шлюз, то проброс так же не будет работать

ходят ходят, у меня уже мозги набекрень. ограничений внутри локалки никаких нет

[fisher74]

ipconfig /all
route print