Помогите пробросить порт

[lBoxerl]

Добрый вечер, помогите пожалуйста пробросить порт с ubuntu server на другой ubuntu server в сети что можно было заходить на сервер внутри сети по ssh.
внутренний ір 192.168.2.2 сервака, шлюз 192.168.2.1

[fisher74]

Давайте поможем. Что у Вас не получилось?

[lBoxerl]

iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 192.168.2.2:81

ребутнул и лаганул. Не могу зайти по ssh. Но у меня бывает зависает сервакк:(
я что-то не правильно сделал? Или все нормально?

[fisher74]

На ssh оно точно не могло повлиять.
А вот в условия я бы ещё добавил либо -i xxx либо -d xx.xx.xx.xx... а лучше и то и другое )))

[lBoxerl]

ssh не хочет общаться со мной:(

Код: [Выделить]

ssh: connect to host ДОМЕН port 22: Connection timed out

а можно объяснить что такое -i и -d?

и это записать в fw и все?

[fisher74]

А зачем Вы ребутили?
Судя по всему сервер будет доступен только по утру...
Может для начала решить проблему зависонов? Хотя думаю причиной стал ребут при ручной некорректной коррекции критичных для сети конфигов...

а можно объяснить что такое -i и -d?

Тут и тут вполне внятно описано

и это записать в fw и все?

Вот уж не знаю что это такое...

[lBoxerl]

Почитал, думаю что получится вот так:

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d 192.168.2.2 -p tcp --dport 81 -j DNAT --to 192.168.2.2:81

и это записать в fw и все?
Вот уж не знаю что это такое...

по-моему он там
/usr/bin/local/bin/fw

[fisher74]

Почитал, думаю что получится вот так:

думайте ещё. Представьте как пакет движется и какие он имеет значения полей

по-моему он там
/usr/bin/local/bin/fw

Ещё раз повторюсь: я не знаю что это за fw у Вас, тем более в такой ж...м месте

Код: [Выделить]

~$ ls /usr/bin/local/
ls: cannot access /usr/bin/local/: No such file or directory


[lBoxerl]

ну вот...

-i, --in-interface
Пример   iptables -A INPUT -i eth0
Описание   
Интерфейс, с которого был получен пакет. Использование этого критерия допускается только в цепочках INPUT, FORWARD и PREROUTING

я написал с которого интерфейса был получен пакет, "eth0"

-d, --dst, --destination
Пример   iptables -A INPUT -d 192.168.1.1
Описание   
IP-адрес(а) получателя. Имеет синтаксис схожий с критерием --source, за исключением того, что подразумевает адрес места назначения. Точно так же может определять как единственный IP-адрес, так и диапазон адресов.

и здесь я написал кто получает порт "192.168.2.2"

Ещё раз повторюсь: я не знаю что это за fw у Вас, тем более в такой ж...м месте
Код: [Выделить]
~$ ls /usr/bin/local/
ls: cannot access /usr/bin/local/: No such file or directory

завтра буду возле сервака, скину Вам, что у меня там. p.s. я там пишу все iptables.

[fisher74]

я написал с которого интерфейса был получен пакет, "eth0"

Только не С КОТОРОГО, а НА КОТОРЫЙ был получен. Пакет же извне прилетел.
А так мысль верная.

IP-адрес(а) получателя.

и здесь я написал кто получает порт "192.168.2.2"

А когда он получит? Только после замены адреса получателя действием DNAT. А чтобы это произошло, должно сработать правила по условиям. То есть сначала проверили, и если есть попадание - меняем адрес destination.

А когда будет проводится проверка там кто будет значится получателем?
Пользователь решил продолжить мысль 29 Января 2015, 23:32:05:

завтра буду возле сервака, скину Вам, что у меня там. p.s. я там пишу все iptables.

вот уж увольте... Мне оно совершенно без надобности. Мне рукописей и без Вашей хватает по уши.

[bukass]

lBoxerl,
А форвардить то разрешено, в этом направлении?

[lBoxerl]

lBoxerl,
А форвардить то разрешено, в этом направлении?

да, все там...

[bukass]

lBoxerl,

iptables -t nat -A PREROUTING -i eth0 -d 192.168.2.2 -p tcp --dport 81 -j DNAT --to 192.168.2.2:81

А таблица mangle где обрабатывается пакет? -p tcp -m tcp ?
Пользователь решил продолжить мысль [time]30 Январь 2015, 15:46:21[/time]:И еще.

-i eth0 - внешний интерфейс? -d 192.168.2.2 - внешний адрес?
Пользователь решил продолжить мысль [time]30 Январь 2015, 15:54:16[/time]:
С рабочего пограничника.

Код: [Выделить]

-A PREROUTING -d 178.1.2.3/32 -i eth1.3033 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.0.2.20
Где 178.1.2.3/32 - внешний адрес
eth1.3033 внешний интерфейс (смотрит в провайдера)

[lBoxerl]

-bash на mangle

eth0 на серваку, смотрит в провайдер
eth2 на фтп серваку, смотрит в сервак где провайдер, интерфейс (eth3)

Вот что получается:

iptables -t nat -A PREROUTING -d 213.1.2.3 - i eth0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.2.2

так?

[bukass]

lBoxerl,

Если eth0 внешний интерфейс
213.1.2.3 внешний адрес, да.

eth2 на фтп серваку, смотрит в сервак где провайдер, интерфейс (eth3)

Не понял, eth2 интерфейс с адресом 192.168.2.1 внутренний, смотрящий в ftp сервер?

Правило есть?

Код: [Выделить]

-A FORWARD -d 192.168.2.2 -p tcp -m tcp --dport 23 -j ACCEPT
Может покажешь iptables-save ?