Пересылка пакетов только для определенной сети

[Ввысь]

Здравствуйте.
Подскажите, не хочу на грабли прыгать.
Нужно чтоб пришедшие с определенного IP на определенный порт были отправлены на нужный адрес.

Получилось так:

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.47 --dst 192.168.1.35 --dport 3003 -j DNAT --to-destination 185.5.136.119:80
iptables -t nat -A POSTROUTING -p tcp --dst 185.5.136.119 -j SNAT --to-source 192.168.1.35

пакеты с 192.168.1.47 пришедшие на 192.168.1.35 на порт 3003 отправить на 185.5.136.119:80
принимать пакеты пришедшие обратно

Верно? Вроде работает. Так можно, ничему это не противоречит?

Спасибо.

[AnrDaemon]

Полностью правила показывайте…
iptables-save

[fisher74]

даже без полного списка правил видно, что второе правило в корне неверное

[Ввысь]

AnrDaemon, а показывать больше и нечего. Это виртуалка, это просто, для себя. Расширение знаний так сказать)
fisher74, а что неверно? В чем ошибка?

[fisher74]

В чем ошибка?

В корне.

Вы не до конца понимаете что делаете.
Раз уж

Расширение знаний так сказать)

то, расскажите, что делает второе правило и, если можно, ЗАЧЕМ.

[AnrDaemon]

AnrDaemon, а показывать больше и нечего.

Я конкретно сказал, что именно показать. Если вы считаете, что лучше нас знаете вопрос, мы с вами не договоримся.

[Ввысь]

AnrDaemon, ну ладно раз так то )

(Нажмите, чтобы показать/скрыть)

root@ubuntu:~# iptables-save
# Generated by iptables-save v1.6.0 on Thu Sep 15 07:56:16 2016
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.1.47/32 -d 192.168.1.36/32 -p tcp -m tcp --dport 3003 -j DNAT --to-destination 185.5.136.119:80
-A POSTROUTING -d 185.5.136.119/32 -p tcp -j SNAT --to-source 192.168.1.36
COMMIT
# Completed on Thu Sep 15 07:56:16 2016
# Generated by iptables-save v1.6.0 on Thu Sep 15 07:56:16 2016
*filter
:INPUT ACCEPT [54:3600]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [56:4384]
COMMIT
# Completed on Thu Sep 15 07:56:16 2016

fisher74, без второго не работает. Поэтому оно и было добавлено. Зачем - мне иногда, временно нужно чтоб народ с определенными IP попадал не куда все остальные. Вот и подумал что это наверно самый простой и быстрый способ получить нужное.

[fisher74]

может оно и работает, но "случайно"

Хотя-аааа... я не подумал, что ...

Интерфейс у этой железки один, да?

[AnrDaemon]

Думаю, тут без поллитры схемы сети не разобраться.

[Ввысь]

fisher74, да, интерфейс один.
AnrDaemon, там нет ничего). Это просто эксперимент, для себя.

Попробуем зайти с другой стороны, как правильно нужно сделать чтоб получить:
пакеты с 192.168.1.47 пришедшие на 192.168.1.35 на порт 3003 отправить на 185.5.136.119:80
принимать пакеты пришедшие обратно.
Нужно иногда, ставить ПО если все можно в пару строк написать думаю бессмысленно.

[AnrDaemon]

Я, конечно, понимаю, что вы ничего не понимаете…
Но вас не затруднит как минимум отвечать на заданные (простые!) вопросы?

[fisher74]

Я ответ на свой вопрос получил и структуру сети понял.
Собственно, в таком случае, правила верны, но сразу говорю: механизм извратен.
Вообще шлюз с одним интерфейсом, как однополый брак: вроде, и любовь, и семья, и всё-такое, но... Короче изврат.

[Ввысь]

AnrDaemon, я и правда не понимаю что от меня требуется. Мне фото приложить? Один компьютер, на нем виртуалка, все. С соседнего компьютера идут пакеты, хочу пересылать куда я хочу. Все. Никакого рентв.
fisher74, спасибо. Доходчиво)