Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Перенаправление трафика из тунеля в сеть  (Прочитано 1804 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Здравствуйте форумчане!
По защищенной сети (tun0) openvpn доступен некий сайт, сертификат выдан на одного пользователя и подключить более одного ПК соответственно нет возможности, так же нет возможности внести изменения на openvpn сервер сети tun0. Нужна помощь в перебросе сайта в локальную сеть (eth0) и в другой тунель (tun1). Просканировал сеть tun0 nmap`ом, на нем открыты следующие tcp порты: 22, 80, 83, 99, 443, 7070, 7777, 8888, 9900 и 9999.
На данный момент имею следующее:
(Нажмите, чтобы показать/скрыть)
Все сети пингуются на ПК с установленными соединениями... Подойдет любой способ перенаправления, единственная цель - лицезреть сайт на других ПК в сети =)
Заранее спасибо за помощь!
« Последнее редактирование: 05 Июль 2017, 09:42:59 от Esmertec »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
пробросьте порт сайта на адрес интерфейса eth0 с маскарадом интерфейса tun0.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
пробросьте порт сайта на адрес интерфейса eth0 с маскарадом интерфейса tun0.
Плохо разбираюсь в этом, нашел примерно похожую ситуацию переделал следующим образом:
(Нажмите, чтобы показать/скрыть)
так не заработало... где-то есть ошибка?

Пользователь добавил сообщение 05 Июль 2017, 14:35:09:
В общем психанул :2funny: прокинул все порты, которые были известны, нат теперь выглядит так:
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun1 -o tun0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o tun0 -s 10.59.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -s 10.0.1.0/24 -j MASQUERADE

#Разрешаем входящие подключения
iptables -A FORWARD -i tun0 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 8888 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 9999 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 83 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 99 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 9900 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 7777 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 7070 -j ACCEPT

# Форвардинг 80 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 82 -j DNAT --to-destination 192.168.137.7:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 80 -j SNAT --to-source 10.59.0.118

# Форвардинг 8888 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 8888 -j DNAT --to-destination 192.168.37.7:8888
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 8888 -j SNAT --to-source 10.59.0.118

# Форвардинг 443 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 443 -j DNAT --to-destination 192.168.137.7:443
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 443 -j SNAT --to-source 10.59.0.118

# Форвардинг 9999 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 9999 -j DNAT --to-destination 192.168.37.7:9999
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 9999 -j SNAT --to-source 10.59.0.118

# Форвардинг 83 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 83 -j DNAT --to-destination 192.168.137.7:83
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 83 -j SNAT --to-source 10.59.0.118

# Форвардинг 99 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 99 -j DNAT --to-destination 192.168.37.7:99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 99 -j SNAT --to-source 10.59.0.118

# Форвардинг 9900 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 9900 -j DNAT --to-destination 192.168.137.7:9900
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 9900 -j SNAT --to-source 10.59.0.118

# Форвардинг 7777 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 7777 -j DNAT --to-destination 192.168.37.7:7777
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 7777 -j SNAT --to-source 10.59.0.118

# Форвардинг 7070 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 7070 -j DNAT --to-destination 192.168.37.7:7070
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 7070 -j SNAT --to-source 10.59.0.118

#OPENVPN

# Форвардинг 80 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 84 -j DNAT --to-destination 192.168.137.7:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 80 -j SNAT --to-source 10.0.1.6

# Форвардинг 8888 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 8888 -j DNAT --to-destination 192.168.37.7:8888
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 8888 -j SNAT --to-source 10.0.1.6

# Форвардинг 443 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 443 -j DNAT --to-destination 192.168.137.7:443
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 443 -j SNAT --to-source 10.0.1.6

# Форвардинг 9999 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 9999-j DNAT --to-destination 192.168.37.7:9999
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 9999 -j SNAT --to-source 10.0.1.6

# Форвардинг 83 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 83 -j DNAT --to-destination 192.168.137.7:83
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 83 -j SNAT --to-source 10.0.1.6

# Форвардинг 99 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 99 -j DNAT --to-destination 192.168.37.7:99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 99 -j SNAT --to-source 10.0.1.6

# Форвардинг 9900 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 9900 -j DNAT --to-destination 192.168.137.7:9900
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 9900 -j SNAT --to-source 10.0.1.6

# Форвардинг 7777 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 7777 -j DNAT --to-destination 192.168.37.7:7777
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 7777 -j SNAT --to-source 10.0.1.6

# Форвардинг 7070 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 7070 -j DNAT --to-destination 192.168.37.7:7070
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 7070 -j SNAT --to-source 10.0.1.6

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i tun0 -o eth0 -j REJECT
iptables -A FORWARD -i tun0 -o tun1 -j REJECT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 9999 -j ACCEPT
iptables -A INPUT -p tcp --dport 83 -j ACCEPT
iptables -A INPUT -p tcp --dport 99 -j ACCEPT
iptables -A INPUT -p tcp --dport 9900 -j ACCEPT
iptables -A INPUT -p tcp --dport 7777 -j ACCEPT
iptables -A INPUT -p tcp --dport 7070 -j ACCEPT
iptables -A INPUT -p tcp --dport 82 -j ACCEPT
iptables -A INPUT -p tcp --dport 84 -j ACCEPT
и понял, что проблема обстоит еще хуже чем предполагалось изначально, суть в том, что основной сайт работает по порту 99, а по 80 - тестовый стенд подобный оригиналу (s1) (к нему и нужен мне доступ), проблема в том, что у нас занят порт 80 другим внешним сайтом (s2), к которому так же нет доступа. Сейчас получается такая ситуация если нужен доступ к s1 нужно гасить один шлюз, а если нужен доступ к s2 - гасить нужно пк на котором только что настроил нат.........
Печаль полная...
« Последнее редактирование: 05 Июль 2017, 14:35:09 от Esmertec »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
192.168.137.7
что это за адрес?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
192.168.137.7
что это за адрес?
это адрес сайта внутри тунеля, если заходить на него 192.168.137.7:80 попадаем на тестовый стенд, к которому и нужен доступ, если заходить 192.168.137.7:99, попадаем на полную копию данного сайта, но уже готовая версия, соответственно логины и пароли у сайтов с этими портами разные...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
проблема в том, что у нас занят порт 80 другим внешним сайтом
Кто мешает занатить его на другой порт, например на 8080?

Пользователь добавил сообщение 05 Июль 2017, 20:03:46:
Что-то накрутили несусветное...
Если хотите разобраться - возьмите один порт и пробросьте его.  Убедитесь, что ОНО работает и уже опираясь на него - дополняйте нужное.
« Последнее редактирование: 05 Июль 2017, 20:03:46 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Кто мешает занатить его на другой порт, например на 8080?
я пробовал кинуть его с 80 на 82 и 85 в свой тунель (tun1) - не заработало, хотя при подключении с пк на win к openvpn, сайт открывается
Что-то накрутили несусветное...
Если хотите разобраться - возьмите один порт и пробросьте его.  Убедитесь, что ОНО работает и уже опираясь на него - дополняйте нужное.
да, в принципе это помогло мне узнать, что именно и по каким портам работает, почищу нат оставлю только 80 и 99 порты по https сайт не открывается, а остальные не понятно за что отвечают

Сделал следующим образом:
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun1 -o tun0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o tun0 -s 10.59.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -s 10.0.1.0/24 -j MASQUERADE

#Разрешаем входящие подключения
iptables -A FORWARD -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i tun0 -p tcp --dport 99 -j ACCEPT

# Форвардинг 80 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 65111 -j DNAT --to-destination 192.168.137.7:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 80 -j SNAT --to-source 10.59.0.118

# Форвардинг 99 local
iptables -t nat -A PREROUTING -p tcp -d 10.59.0.118 --dport 99 -j DNAT --to-destination 192.168.37.7:99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 99 -j SNAT --to-source 10.59.0.118

#OPENVPN

# Форвардинг 80 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 65112 -j DNAT --to-destination 192.168.137.7:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 80 -j SNAT --to-source 10.0.1.6

# Форвардинг 99 protnet
iptables -t nat -A PREROUTING -p tcp -d 10.0.1.6 --dport 99 -j DNAT --to-destination 192.168.37.7:99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.37.7 --dport 99 -j SNAT --to-source 10.0.1.6

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i tun0 -o eth0 -j REJECT
iptables -A FORWARD -i tun0 -o tun1 -j REJECT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 99 -j ACCEPT
iptables -A INPUT -p tcp --dport 65111 -j ACCEPT
iptables -A INPUT -p tcp --dport 65112 -j ACCEPT
т.е. в теории в локалке сайт должен использовать вместо 80 порта 65111, в тунеле 65112 - не работает, хотя по 99 порту все прекрасно открывается, в общем я в моральном ступоре....
« Последнее редактирование: 06 Июль 2017, 08:40:42 от Esmertec »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Возьмите ОДИН сервис и пробросьте его на ОДИН интерфейс. Как получится - уже с просветлённым взглядом займётесь остальными. У Вас бардак в правилах, смазанный кашей непонимания процесса
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Возьмите ОДИН сервис и пробросьте его на ОДИН интерфейс. Как получится - уже с просветлённым взглядом займётесь остальными. У Вас бардак в правилах, смазанный кашей непонимания процесса
Вот взял один сервис кинул на один интерфейс eth0, поменял порт для входа на сайт, на сайт не заходит, при чем этот порт довольно странный пишет якобы соединение не защищено, да и те правила которые я писал выше - работают, т.е. по 99 порту как через eth0 так и через tun1 попадаем на сайт, не работает именно 80 порт, смена порта на стороне клиента результатов не дает, а со стороны сервера нет возможности его поменять на любой другой....
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o tun0 -s 10.59.0.0/24 -j MASQUERADE

#Разрешаем входящие подключения
iptables -A FORWARD -i tun0 -p tcp --dport 80 -j ACCEPT

# Форвардинг 80 local
iptables -t nat -A PREROUTING -d 10.59.0.118 -p tcp --dport 65432 -j DNAT --to-destination 192.168.37.7:80
iptables -t nat -A POSTROUTING -d 192.168.37.7 -p tcp --dport 80 -j SNAT --to-source 10.59.0.118

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i tun0 -o eth0 -j REJECT

iptables -A INPUT -p tcp --dport 65432 -j ACCEPT

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Зачем этоiptables -t nat -A POSTROUTING -d 192.168.37.7 -p tcp --dport 80 -j SNAT --to-source 10.59.0.118когда есть это
iptables -t nat -A POSTROUTING -o tun0 -s 10.59.0.0/24 -j MASQUERADE
Это
iptables -A INPUT -p tcp --dport 65432 -j ACCEPTвообще не нужное.

Теперь расскажу небольшое правило. Если хотите правильно проводить диагноситку (а при настройке она всегда необходима), то нужно всегда пялиться в рабочие, т.е. загруженные настройки, а не пытаться раскурить скрипты их загружающие. Закопавшись в скриптах, можно упустить настройки которые были сделаны до запуска скрипта.
Потому предлагаю смотреть именно загруженные правила, причём ВСЕ. Их можно посмотреть одной командой
sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Потому предлагаю смотреть именно загруженные правила, причём ВСЕ. Их можно посмотреть одной командой
хм.. ну я в самом начале темы написал, что не очень разбираюсь в пробросах) так что сильно не пинайте) вывод iptables-save:
~$ sudo iptables-save
# Generated by iptables-save v1.6.0 on Thu Jul  6 23:32:15 2017
*nat
:PREROUTING ACCEPT [49:12599]
:INPUT ACCEPT [4:457]
:OUTPUT ACCEPT [17:1236]
:POSTROUTING ACCEPT [17:1236]
-A PREROUTING -d 10.59.0.118/32 -p tcp -m tcp --dport 65432 -j DNAT --to-destination 192.168.37.7:80
-A POSTROUTING -s 10.59.0.0/24 -o tun0 -j MASQUERADE
COMMIT
# Completed on Thu Jul  6 23:32:15 2017
# Generated by iptables-save v1.6.0 on Thu Jul  6 23:32:15 2017
*filter
:INPUT ACCEPT [224:26218]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [200:30946]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Jul  6 23:32:15 2017
удалил правило и открытие порта:
iptables -t nat -A POSTROUTING -d 192.168.37.7 -p tcp --dport 80 -j SNAT --to-source 10.59.0.118
iptables -A INPUT -p tcp --dport 65432 -j ACCEPT
я так понял они просто дублировали и так рабочее правила, в общем проблема осталась так же, а именно через tun0 висящий на порту 80 сайт, при пробросе на другой порт или же потому же 80 кидает в неизвестном направлении, с ошибкой "подключение к веб-сайту не защищено", при подключении по данному сертификату от сети tun1 сайт нормально загружается, т.е. нат работает, но при этом сеть не защищена после ната, из-за чего сайт не грузится. Сайт висящий на 99 порту открывается без проблем, что смешно, учитывая логичнее защищать рабочую версию сайта, а не тестовую...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Цитировать
-A FORWARD -i tun0 -p tcp -m tcp --dport 80 -j ACCEPT
И вообще, на момент "разбирательств", думаю стоит вообще убрать все правила из filter  и играться только правилами в таблице nat.
Как минимум правило
-A FORWARD -i tun0 -o eth0 -j REJECT --reject-with icmp-port-unreachableможет и портит Вам всю картину.

не очень разбираюсь в пробросах
А я в Вашем тарабарском.

Смущает применение сертификата. Вполне вероятно, что сервис инициирует встречное соединение....

Извините, но я, наверное, пас и перехожу в зал в виде наблюдателя и болельщика.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Esmertec

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
А я в Вашем тарабарском.
что именно не понятно?
удаленный |                                                                                                                                        |Ubuntu server 16  |      ----eth0 10.59.0.118-----> Локальные ПК
 server           |-------------------OpenVPN 10.255.2.22-------------------------->                                           |тут настраиваю nat|
с сайтом       |Сайт через тунель работает по адресу 192.168.37.7:80-тестовый сайт   |                                          |
___________|                192.168.37.7:99-рабочая версия сайта                                                        |__________________|---tun1 10.0.1.4-----> Удаленные ПК

Доступ нужен к тестовой версии сайта, правила из 6 поста отлично работают для 99 порта, т.е. рабочая версия сайта через мой нат проходит до локальных eth0 и удаленных пользователей tun1, при аналогичном пробросе 80 порта и локальные и удаленные пользователи видят сообщение о не защищенном соединении, при этом 99 порт по прежнему отлично работает...

-A FORWARD -i tun0 -o eth0 -j REJECT --reject-with icmp-port-unreachableможет и портит Вам всю картину.
без этого правила сайт не открывается даже по 99 порту
« Последнее редактирование: 07 Июль 2017, 09:41:30 от Esmertec »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
-A FORWARD -i tun0 -o eth0 -j REJECT --reject-with icmp-port-unreachableможет и портит Вам всю картину.
без этого правила сайт не открывается даже по 99 порту
Прискорбно
Остаётся только соболезновать.... Вашим познаниям и умению изучения инструмента, которым пользуетесь.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27443
    • Просмотр профиля
Поднимите тестовый сайт на другом имени.
Сами себе проблему выдумали…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.158 секунд. Запросов: 24.