noip2+vpn(pptp) проброс ssh во внутреннию сеть

[Sharabdin]

сервер на нем стоит noip2 через динамический vpn как пробросить во внутрению сеть порт  22?

10.5.111.4 компьютер во внутренней сети на который нужно пробросить 22 порт(ssh)

пробрасываю так:

sudo iptables -A FORWARD -i ppp0 -p tcp --dport 22 -j ACCEPT
sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 10.5.111.4:22

нечего не происходит в чем может быть дело?

[fisher74]

показывайте все правила
sudo iptables-save

Внешний адрес белый?
У 10.5.111.4 выход в интернет есть?

[Sharabdin]

показывайте все правила
sudo iptables-save

Внешний адрес белый?
У 10.5.111.4 выход в интернет есть?

внешний адрес белый динамический выдаваемый провайдером ,у 10.5.111.4 доступ есть по нату выдаваемый через этот же сервер.
вот вывод iptables-save

# Generated by iptables-save v1.4.12 on Fri Jun  7 10:16:02 2013
*filter
:INPUT ACCEPT [916640:644677874]
:FORWARD ACCEPT [880177:627140552]
:OUTPUT ACCEPT [1010770:681647882]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Fri Jun  7 10:16:02 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 10:16:02 2013
*nat
:PREROUTING ACCEPT [16880:1200307]
:INPUT ACCEPT [2498:306867]
:OUTPUT ACCEPT [144:13822]
:POSTROUTING ACCEPT [147:14180]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.5.111.4:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.5.111.4:22
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 172.16.251.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun  7 10:16:02 2013

[ArcFi]

Для начала, удалить дублирующиеся правила и добавить:

Код: [Выделить]

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

[fisher74]

внешний адрес белый динамический выдаваемый провайдером

М-м-м-м, изините за мою дотошность, но мы здесь уже сталкивались с брызгами слюней, что адрес "белый", а по факту серее не бывает. Просто выдаваемый провайдером адрес не аксиома "белого" адреса.
Так Вы точно уверены, что адрес белый? адрес на Wan_интерфейсе совпадает с адресом выдаваемым тем же 2ip.ru?

Для начала, удалить дублирующиеся правила

Плюсую

и добавить:

пока не мешает
Пользователь решил продолжить мысль 07 Июня 2013, 15:14:57:А ещё бы я правила
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
перебросил бы в предназначенную для этого таблицу mangle

[Sharabdin]

 да даже пингуется noip с моим ip вс ок ,сейчас изменил задачку пытаюсь пробросить порт vnc , добавил патч мту в mangle но все равно результат тот-же ,вот исполняемый код ната впихнул в конец /etc/ppp/ip-up :

route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.14.1
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.5.111.106
route add -net 172.0.0.0 netmask 255.255.255.0 gw 10.5.111.106 dev eth0
route add -net 10.10.0.0/16 gw 10.10.14.1 dev eth0:1
route add -net 172.0.0.0/8 gw 10.5.111.106 dev eth0

##############################################################################
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle

###############################################################################
iptables -t nat -A POSTROUTING -o ppp0 -s 172.16.251.0/24 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu
#############################################################################################
iptables -I FORWARD -p tcp -d 10.5.111.4 --dport 5900 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 5900 -j DNAT --to 10.5.111.4:5900
iptables -I FORWARD -p tcp -d 10.5.111.4 --dport 5800 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 5800 -j DNAT --to 10.5.111.4:5800
iptables -t nat -A POSTROUTING -o ppp0 -s 10.5.111.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 10.5.110.171 -j MASQUERADE

sudo /usr/local/bin/noip2 -c /usr/local/etc/no-ip2.conf -M

вот iptables-save:

# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*filter
:INPUT ACCEPT [9418:657029]
:FORWARD ACCEPT [852:87017]
:OUTPUT ACCEPT [8838:1432780]
-A FORWARD -d 10.5.111.4/32 -p tcp -m tcp --dport 5800 -j ACCEPT
-A FORWARD -d 10.5.111.4/32 -p tcp -m tcp --dport 5900 -j ACCEPT
COMMIT
# Completed on Fri Jun  7 21:58:45 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*mangle
:PREROUTING ACCEPT [10441:755003]
:INPUT ACCEPT [9424:657261]
:FORWARD ACCEPT [862:87897]
:OUTPUT ACCEPT [8860:1435360]
:POSTROUTING ACCEPT [9740:1526455]
COMMIT
# Completed on Fri Jun  7 21:58:45 2013
# Generated by iptables-save v1.4.12 on Fri Jun  7 21:58:45 2013
*nat
:PREROUTING ACCEPT [397:30752]
:INPUT ACCEPT [176:15028]
:OUTPUT ACCEPT [2723:140751]
:POSTROUTING ACCEPT [2776:145633]
-A PREROUTING -p tcp -m tcp --dport 5800 -j DNAT --to-destination 10.5.111.4:5800
-A PREROUTING -p tcp -m tcp --dport 5900 -j DNAT --to-destination 10.5.111.4:5900
-A POSTROUTING -s 10.5.111.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.5.110.171/32 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun  7 21:58:45 2013