Глюк iptables или кривые руки?

[Stealch]

Всем привет. Возникла проблема с пробросом портов. Ситуация в следующем: мне надо пробросить порт tcp 34599 с входящего ppp-соединения на внешний интерфейс. Для туннеля присвоен выделенный ip. Что для этого сделано: в таблице nat перед маршрутизацией -

Код: [Выделить]

-A PREROUTING -p tcp -d 124.18.206.39 --dport 34599 -j DNAT --to-destination 172.16.10.2:34599Далее в таблице filter Перенаправляемые пакеты

Код: [Выделить]

-A FORWARD -p tcp -d 172.16.10.2 --dport 34599 -j ACCEPTПосле этого я находясь в домашней сети спокойно достукиваюсь до этого порта, обращаясь на внешний интерфейс 124.18.206.39 но при попытке доступа извне - фиг. Варианты с жестким указанием внешнего интерфейса в перенаправлении

Код: [Выделить]

-A FORWARD -i ppp999 -p tcp -d 172.16.10.2 --dport 34599 -j ACCEPT не приводят ни к чему. Указать параметр -о ppp7 не могу, ибо ppp интерфейс меняется при реконнекте. Все параметры приведены из iptables.up.rules, естественно они применены. ЧЯДНТ?

[AnrDaemon]

Запускаете tcpdump на шлюзе, и смотрите, в чём отличие запросов.
Может, сам сервис на 172.16.10.2 отшивает клиентов?

[Stealch]

Запускаете tcpdump на шлюзе, и смотрите, в чём отличие запросов.
Может, сам сервис на 172.16.10.2 отшивает клиентов?

Я тоже к этому пришел. Без tcpdump. Дело в том, что маршрута по умолчанию на удаленном девайсе для PPTP нет. Настроены маршруты только в подсети 172.16.10.0/24 и 172.16.0.0/24. Возникает вопрос такого характера: если я обращаюсь как раз из этих подсетей и все работает, то можно ли как-то настроить нат на сервере, чтобы девайсу на конце тунеля отдавался ip шлюза 172.16.10.1 в качестве source IP? Дело в том, что если устройство получит в качестве source IP 124.18.206.39 - то возникнет проблема маршрутизации, ибо данный ip является VPN Gateway и маршрут на него идет через интерфейс 4G модема...
192.168.1.0/24   0.0.0.0   Home
0.0.0.0/0   192.168.0.1   CdcEthernet0
124.18.206.39/32   192.168.0.1   CdcEthernet0
192.168.0.0/24   0.0.0.0   CdcEthernet0
172.16.0.0/24   172.16.10.1   PPTP0
172.16.0.1/32   0.0.0.0   PPTP0
172.16.10.0/24   172.16.10.1   PPTP0
172.16.10.1/32   0.0.0.0   PPTP0

Добавил маршрут до устройства с которого проверяю работу извне - все заработало. Притом добавил его в настройки удаленного устройства. Так что именно оно не пускает меня извне. т.е  109.188.124.6/32   172.16.10.2   PPTP0 - Работает как часы. Но беда в том, что этот ip не статика... Мне же требуется доступ из всех сетей...
собственно сабж: я могу как-то настроить маскарад с внешнего интерфейса на ip 172.16.10.2 для одного порта?

Пользователь решил продолжить мысль 10 Марта 2015, 08:43:06:Проблема решена. Добавил маскарад и все заработало.

Код: [Выделить]

-A POSTROUTING -p tcp -m tcp -d 172.16.10.2/32 --dport 34599 -j MASQUERADE

[AnrDaemon]

Неправильное решение.
Сервис больше не увидит реальные IP клиентов. Все запросы будут идти от IP шлюза.
Вам надо было прописать маршрут обратно на шлюз на вашем сервисе.
Маркировка пакетов + ip rule по марке.

[Stealch]

Мне имено это и требовалось. Сервису и не надо видеть реальные адреса. А заворачивать весь трафик с устройства в тоннель мне не надо. Это видеорегистратор, подключенный через роутер. Все компы идут по вайфаю через модем, а регистратор смотрит в туннель и выходит в мир с моего статического ip. Притом туннель идет через тот же модем. Так что как ни крути - либо весь трафик - либо только с определенных ip что невозможно из-за отсутствия статики на устройствах-клиентах.

[AnrDaemon]

При чём тут весь трафик? O.o
Вы вообще прочли, что я сказал? А поняли?

[Stealch]

Возможно что не понял, но прописать какой-либо маршрут на этом роутере сложнее маршрута на подсеть или дефолтного не представляется возможным.