iptables Пробросить порт во внутреннюю сеть

[saber]

хочу чтоб с любой точки мира при обращении к 91.195.101.20 на порт 7788 машина перебрасывала запрос на машину внутренней сети 192.168.100.251 на тотже порт

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7788 -j DNAT --to-destination 192.168.100.251:7788
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7788 -j SNAT --to-source 91.195.101.20

Первое правило подменяет ip приёмника на внутренний ип, а второе обратно подменяет ип отправителя на внешний.

[Yden]

а в чём собственно вопроссс? у меня вот так вот
-A PREROUTING -i ppp0 -p udp --dport 10000:50000  -j DNAT --to 10.0.7.111

[elec]

а у меня вот что-то ни один из вариантов не пашет :-(
вот мой Iptables-save, мож подскажите в чем трабл?

# Generated by iptables-save v1.3.8 on Wed Oct 29 13:41:27 2008
*nat
:PREROUTING ACCEPT [2667:370555]
:POSTROUTING ACCEPT [250525:11039035]
:OUTPUT ACCEPT [250525:11039035]
-A PREROUTING -d ! 10.1.1.0/255.255.255.0 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.1.1.1:3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 30585 -j DNAT --to-destination 10.1.1.131
-A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Oct 29 13:41:27 2008
# Generated by iptables-save v1.3.8 on Wed Oct 29 13:41:27 2008
*mangle
:PREROUTING ACCEPT [66590:18923359]
:INPUT ACCEPT [51350:12761293]
:FORWARD ACCEPT [14204:6038232]
:OUTPUT ACCEPT [275986:23546296]
:POSTROUTING ACCEPT [290119:29580602]
COMMIT
# Completed on Wed Oct 29 13:41:27 2008
# Generated by iptables-save v1.3.8 on Wed Oct 29 13:41:27 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP
-A INPUT -d 255.255.255.255 -i eth1 -j ACCEPT
-A INPUT -s 10.1.1.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -i eth1 -p ! tcp -j ACCEPT
-A INPUT -s 10.1.1.0/255.255.255.0 -i eth0 -j LOG
-A INPUT -s 10.1.1.0/255.255.255.0 -i eth0 -j DROP
-A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT
-A INPUT -d 192.168.188.200 -i eth0 -j ACCEPT
-A INPUT -d 192.168.188.255 -i eth0 -j ACCEPT
-A INPUT -d 224.0.0.1 -j DROP
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -s 10.1.1.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.1.1.0/255.255.255.0 -o eth0 -j LOG
-A FORWARD -d 10.1.1.0/255.255.255.0 -o eth0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255 -o eth1 -j ACCEPT
-A OUTPUT -d 10.1.1.0/255.255.255.0 -o eth1 -j ACCEPT
-A OUTPUT -d 224.0.0.0/240.0.0.0 -o eth1 -p ! tcp -j ACCEPT
-A OUTPUT -d 10.1.1.0/255.255.255.0 -o eth0 -j LOG
-A OUTPUT -d 10.1.1.0/255.255.255.0 -o eth0 -j DROP
-A OUTPUT -d 255.255.255.255 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.188.200 -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.188.255 -o eth0 -j ACCEPT
-A OUTPUT -d 224.0.0.1 -j DROP
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Wed Oct 29 13:41:27 2008

[elec]

  туплю


внешний eth0
192.168.188.200

внутренний eth1
10.1.1.1

комп на который надо проброс осуществить 10.1.1.131

[MooSE]

нужно не только пробросить порт, но и разрешить форвардинг в этом направлении. у меня сделано вот так:

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 55555 -i eth0 -j DNAT --to 192.168.111.66:55555
iptables -A FORWARD -m tcp -p tcp -d 192.168.111.66 --dport 55555 -j ACCEPT


[elec]

спасибо большое!
в итоге для того чтобы оно работало пришлось сделать аж 3 строчки! или я просто дурак :-D

-A PREROUTING -d 192.168.188.200 -p tcp -m tcp --dport 30583 -j DNAT --to-destination 10.1.1.131:30583
-A POSTROUTING -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j SNAT --to-source 192.168.188.200
-A FORWARD -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j LOG
-A FORWARD -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j ACCEPT

ничего лишнего тута нету?

[MooSE]

спасибо большое!
в итоге для того чтобы оно работало пришлось сделать аж 3 строчки! или я просто дурак :-D

-A PREROUTING -d 192.168.188.200 -p tcp -m tcp --dport 30583 -j DNAT --to-destination 10.1.1.131:30583
-A POSTROUTING -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j SNAT --to-source 192.168.188.200
-A FORWARD -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j LOG
-A FORWARD -d 10.1.1.131 -p tcp -m tcp --dport 30583 -j ACCEPT

ничего лишнего тута нету?

LOG не обязательно. SNAT ИМХО не нужен...

[saber]

У меня не работало.
В итоге на конечной машине шлюз по умолчанию должен быть прописан тот который перебрасывает порт на машину

[bosha]

А если сделать сложнее. Т.е. допустим у меня есть сайт доступный внешне(допустим http://tlt-portal.ru/), и в сети у нас есть не плохой форум который можно было бы прикрутить к нему же. Как мне сделать что бы при обращении к http://forum.tlt-portal.ru шел редирект на внутрейнний ip другого сервера. При чем усложняется это тем, что на сервере с форумом я буду поднимать postfix для рассылки уведомлений. Как бы это реализовать.

зы Не пинайте, в гугле не нашел.

[stinis]

Поспотрите плиз.

Нужно пробросить порт на 192.168.1.2:12000
Не работает((( Что не так???


root@ubuntu-server:~# iptables-save
# Generated by iptables-save v1.4.1.1 on Thu Jul 30 16:00:01 2009
*filter
:INPUT ACCEPT [4079:469702]
:FORWARD ACCEPT [1653:244298]
:OUTPUT ACCEPT [1773:206395]
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 12000 -j ACCEPT
COMMIT
# Completed on Thu Jul 30 16:00:01 2009
# Generated by iptables-save v1.4.1.1 on Thu Jul 30 16:00:01 2009
*nat
:PREROUTING ACCEPT [106889:10722035]
:POSTROUTING ACCEPT [79:5400]
:OUTPUT ACCEPT [1422:105442]
-A PREROUTING -d 85.159.46.35/32 -p tcp -m tcp --dport 12000 -j DNAT --to-destination 192.168.1.2:12000
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --dport 12000 -j SNAT --to-source 85.159.46.35
COMMIT
# Completed on Thu Jul 30 16:00:01 2009

[Cobalt]

Хочу пробросить порт из интернета в локалку.
Делаю так:

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5002 -j DNAT --to-destination 10.1.0.1:4081
iptables -A FORWARD -d 10.1.0.1 -p tcp -m tcp --dport 4081 -j ACCEPT
ufw allow from any to any port 5002
Когда захожу на 5002 телнетом тот пишет — Не удалось открыть подключение к этому узлу, на порт 5002: Сбой подключения