Помогите пробросить порт

[fisher74]

Я вот думаю, уговорить Вас показать его содержимое или сможем без этого прожить?

[lBoxerl]

Код: [Выделить]

#!/bin/bash

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -F

#eth1
#iptables -t nat -A POSTROUTING -s 192.168.0.104/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.104/28 -o eth0 -j MASQUERADE


#303 - 305
#iptables -t nat -A POSTROUTING -s 192.168.34.0/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.34.0/29 -o eth0 -j MASQUERADE

#307
#iptables -t nat -A POSTROUTING -s 192.168.37.0/27 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.37.0/27 -o eth0 -j MASQUERADE

#308
#iptables -t nat -A POSTROUTING -s 192.168.38.0/27 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.38.0/27 -o eth0 -j MASQUERADE

#401
#iptables -t nat -A POSTROUTING -s 192.168.41.0/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.41.0/29 -o eth0 -j MASQUERADE

#403 - 404
#iptables -t nat -A POSTROUTING -s 192.168.43.0/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.0/29 -o eth0 -j MASQUERADE

#408
#iptables -t nat -A POSTROUTING -s 192.168.48.0/27 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.48.0/27 -o eth0 -j MASQUERADE

#409
#iptables -t nat -A POSTROUTING -s 192.168.49.0/27 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.49.0/27 -o eth0 -j MASQUERADE

#410
#iptables -t nat -A POSTROUTING -s 192.168.50.0/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.50.0/29 -o eth0 -j MASQUERADE

##### eth3 ########
#405
#iptables -t nat -A POSTROUTING -s 192.168.2.0/29 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/29 -o eth0 -j MASQUERADE


############### port na FTP-WEB ##################
iptables -t nat -A PREROUTING -d 213.1.2.3 -i eth0 -p tcp -m --dport 23 -j DNAT --to-destination 192.168.2.2
iptables -A FORWARD -s 192.168.2.2 -p tcp --dport 23 -j ACCEPT
############### Block ########################

#####Блочим всем ###########
#iptables -A FORWARD -d 192.168.49.13 -s vk.com -j ACCEPT
#
#iptables -A FORWARD -s vk.com -j DROP
#iptables -A FORWARD -s m.vk.com -j DROP
#iptables -A FORWARD -s fb.com -j DROP
#iptables -A FORWARD -s 173.252.110.27 -j DROP


#
#iptables -A FORWARD -d 192.168.49.12 -s vk.com -j ACCEPT


[fisher74]

############### port na FTP-WEB ##################
iptables -t nat -A PREROUTING -d 213.169.83.16 -i eth0 -p tcp -m --dport 23 -j DNAT --to-destination 192.168.2.2

[lBoxerl]

убрал -m

iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.14 on Sun Feb  8 17:29:32 2015
*nat
:PREROUTING ACCEPT [7:634]
:INPUT ACCEPT [7:634]
:OUTPUT ACCEPT [144:13350]
:POSTROUTING ACCEPT [145:13410]
-A PREROUTING -d 213.1.2.3/32 -i eth0 -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.2.2
-A POSTROUTING -s 192.168.0.96/28 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.34.0/29 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.37.0/27 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.38.0/27 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.41.0/29 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.43.0/29 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.48.0/27 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.49.0/27 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.50.0/29 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/29 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Feb  8 17:29:32 2015
# Generated by iptables-save v1.4.14 on Sun Feb  8 17:29:32 2015
*filter
:INPUT ACCEPT [967:178764]
:FORWARD ACCEPT [2:100]
:OUTPUT ACCEPT [925:113893]
-A FORWARD -s 192.168.2.2/32 -p tcp -m tcp --dport 23 -j ACCEPT
COMMIT
# Completed on Sun Feb  8 17:29:32 2015

ssh -p 23 web@213.169.83.16

Код: [Выделить]

ssh: connect to host 213.1.2.3 port 23: Connection refusedx

[fisher74]

а на 192.168.2.2 sshd на каком порту слушает?

и уберите бред лишнее

-A FORWARD -s 192.168.2.2/32 -p tcp -m tcp --dport 23 -j ACCEPT

[lBoxerl]

бред убрал, ssh на фтп не настраивал, там все по умолчанию... в ssh нужно тоже менять порт?

[fisher74]

Зависит от Вашей паранойи политики безопасности.
Только вот проброс должен соответствовать сервису. Если тупо пробрасываете 23 порт, то и слушать должен 23 порт.
Но никто не мешает перебрасывать 23 порт из интернета на 22-ой сервиса(если мы про ssh).

[lBoxerl]

без разницы, как легче, так и сделать нужно...
главное что бы через ssh заходите с интернета.

[fisher74]

пробросьте 22 порт, а не 23

[lBoxerl]

пробросил 22 порт

ssh web@213.1.2.3:

Код: [Выделить]

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
36:97:5d:b1:72:b7:9c:b6:44:9c:cf:4a:30:8f:80:c2.
Please contact your system administrator.
Add correct host key in /home/boxer/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/boxer/.ssh/known_hosts:3
  remove with: ssh-keygen -f "/home/boxer/.ssh/known_hosts" -R 213.1.2.3
ECDSA host key for 213.1.2.36 has changed and you have requested strict checking.
Host key verification failed.

[fisher74]

И что Вас останавливает?

[lBoxerl]

sudo rm /root/.ssh/known_hosts

зашло по ssh web@213.1.2.3
но теперь не заходит по ept@213.1.2.3

[fisher74]

sudo rm /root/.ssh/known_hosts

правда мешалась только третья запись.. ну ладно...

[lBoxerl]

ну все равно не работает. перебрасывает на фтп сервер, но не видит тогда основной...

[fisher74]

Что?

Давайте прекращать литературный кружок и каждый "не работает" сопровождать выхлопами настроек. А то не понятно, что у Вас "основной", и кто кого "видит"
В данном случае
sudo iptables-save