Iptables - нужна помощь

[Ввысь]

Помогите написать правила iptables.

есть 222.222.222.222, нужно чтобы при обращении по протоколу UDP на 222.222.222.222:8888 пакет был отправлен на IP 111.111.111.111:9999

что-то у меня никак не получается.
Спасибо.

[.ubuntufan]

Код: [Выделить]

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport 8888 -j DNAT --to-destination 111.111.111.111:9999
iptables -t nat -A POSTROUTING -j MASQUERADE

http://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/

[AnrDaemon]

.ubuntufan, поздравляю, вы только что сломали человеку систему.

[Ввысь]

AnrDaemon, а можно поподробнее? Это шутка такая или ответ неверный?

[.ubuntufan]

Конечно шутка.

[Ввысь]

.ubuntufan, ясно, спасибо). А не важно протокол tcp или udp? 

[.ubuntufan]

Важно. В вашем случае -p udp.
Но я думаю стоит лучше дождаться ответа AnrDaemon. Я думаю он имел ввиду что то важное.

[AnrDaemon]

Не шутка. Ответ не просто неверный, такие ответы вообще нельзя давать людям, не разбирающимся в вопросе, который они задают (i.e. новичкам).
Работа брандмауэра зависит от конкретного порядка следавания правил, безумное копирование чужих правил угробит вам систему с вероятностью 99,9999%.

[fisher74]

Согласен с AnrDaemon - правила "хромые на обе ноги"
В перенаправляющем правиле, как минимум, не указан первоначальный адресат, а правило маскарадинга вообще не выдерживает никакой критики.
Но направление верное - многое зависит от того в какую конфигурацию добавляется этот функционал (влияет конфигурация не только шлюза, но и адресата).

[ArcFi]

нужно чтобы при обращении по протоколу UDP на 222.222.222.222:8888 пакет был отправлен на IP 111.111.111.111:9999

Чем обусловлены подобные костыли?

[AnrDaemon]

ArcFi, игрой в шпионов.

[Ввысь]

ArcFi, причина вот в чем, есть прокси, есть база, есть пользователи)

Пользователи отправляют запросы через прокси в базу. Есть правило(haproxy) - если пришли сюда (222.222.222.222:8888) то отправь туда 111.111.111.111:9999.

Все работало, но понадобилось отправлять  еще и UDP(новая версия или что-то там в этом роде). Но haproxy не умеет общаться с UDP трафиком(ну или я чего-то недопонял). Как то так.

промежуточный вариант получился такой:

$iptables -t nat -A PREROUTING -d IP haproxy -p udp --dport 7777 -j DNAT --to-destination IP base:6666

все UDP что пришло на хапрокси на порт 7777 отправляется на IP base:6666...вот только не приходит туда UDP.
Может быть  причиной, что в base:6666 явно не указано что трафик UDP?   что-то типа  -p udp 

[fisher74]

Есть много вариантов причин неработоспособности задуманного.
И я повторюсь

многое зависит от того в какую конфигурацию добавляется этот функционал (влияет конфигурация не только шлюза, но и адресата).

Описывайте всю схему и прикладывайте сетевую диагностику всех участников процесса

Код: [Выделить]

ip a; ip r
sudo iptables-save

[AnrDaemon]

Простое решение - убрать прокси. И перестать играть в шпионов.

[Ввысь]

Простое решение - убрать прокси. И перестать играть в шпионов.

Это не моя прихоть.

Описывайте всю схему и прикладывайте сетевую диагностику всех участников процесса

Код: [Выделить]

ip a; ip r
sudo iptables-save

Буду иметь ввиду, спасибо.

Проблема решена, работает.
1) не было включено пересылание пакетов
sysctl net.ipv4.ip_forward=1

2)
$iptables -t nat -A PREROUTING -p udp --dst IP proxy --dport порт на который подключаемся -j DNAT --to-destination IP куда нужно переслать:порт
$iptables -t nat -A POSTROUTING -p udp --dst IP куда нужно переслать --dport порт -j SNAT --to-source IP proxy