Проброс портов через iptables

[raxer]

Добрый день.
У меня на сервере крутится ubuntu server 8.04. 2 сетевых интерфейса
eth2 - 10.0.0.1 - смотрит в локалку
ppp0 - адсл соединение, с динамическим белым ip.
Инет раздается связкой dnsmasq и ipmasq.
Нужно прокинуть порт 15000 доступного снаружи, на порт 80 сервера 10.0.0.100 находящегося в локалке. вводил различные команды, не помогает(
добавлял следующие правила в iptables:

Код: [Выделить]

iptables -A INPUT -p tcp --destination-port 15000 -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --destination-port 15000 -j ACCEPT
iptables -A OUTPUT-p tcp --destination-port 15000 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -ppp0 --dport 15000 -j DNAT --to-destination 10.0.0.100:80
iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.100 --dport 80 -j SNAT --to-source 10.0.0.1

вывод
iptables -t nat -v -L

Код: [Выделить]

root@server:/etc/ipmasq/rules# iptables -v -t nat -L
Chain PREROUTING (policy ACCEPT 5891 packets, 633K bytes)
 pkts bytes target     prot opt in     out     source               destination
   30  1560 DNAT       tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:15000 to:10.0.0.100:80

Chain POSTROUTING (policy ACCEPT 60 packets, 5167 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       tcp  --  any    any     anywhere             10.0.0.100          tcp dpt:www to:10.0.0.1
 2949  329K MASQUERADE  all  --  any    ppp0    10.0.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT 60 packets, 5167 bytes)
 pkts bytes target     prot opt in     out     source               destination


iptables -L -v

Код: [Выделить]

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:15000
  306 25802 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 LOG        all  --  !lo    any     127.0.0.0/8          anywhere            LOG level warning
    0     0 DROP       all  --  !lo    any     127.0.0.0/8          anywhere
    3   984 ACCEPT     all  --  eth2   any     anywhere             255.255.255.255
  142 11290 ACCEPT     all  --  eth2   any     10.0.0.0/24          anywhere
    0     0 ACCEPT    !tcp  --  eth2   any     anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        all  --  ppp0   any     10.0.0.0/24          anywhere            LOG level warning
    0     0 DROP       all  --  ppp0   any     10.0.0.0/24          anywhere
    0     0 ACCEPT     all  --  ppp0   any     anywhere             255.255.255.255
 2968  340K ACCEPT     all  --  ppp0   any     anywhere             adsl-194-220-49-19.kmtn.ru
    0     0 DROP       all  --  any    any     anywhere             ALL-SYSTEMS.MCAST.NET
    0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:15000
40592   38M ACCEPT     all  --  eth2   ppp0    10.0.0.0/24          anywhere
25096 2181K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 LOG        all  --  any    ppp0    anywhere             10.0.0.0/24         LOG level warning
    0     0 DROP       all  --  any    ppp0    anywhere             10.0.0.0/24
    0     0 DROP       all  --  any    any     anywhere             ALL-SYSTEMS.MCAST.NET
   30  1560 LOG        all  --  any    any     anywhere             anywhere            LOG level warning
   30  1560 DROP       all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp spt:15000
  306 25802 ACCEPT     all  --  any    lo      anywhere             anywhere
    0     0 ACCEPT     all  --  any    eth2    anywhere             255.255.255.255
   67 21769 ACCEPT     all  --  any    eth2    anywhere             10.0.0.0/24
    0     0 ACCEPT    !tcp  --  any    eth2    anywhere             BASE-ADDRESS.MCAST.NET/4
    0     0 LOG        all  --  any    ppp0    anywhere             10.0.0.0/24         LOG level warning
    0     0 DROP       all  --  any    ppp0    anywhere             10.0.0.0/24
    0     0 ACCEPT     all  --  any    ppp0    anywhere             255.255.255.255
 2789  456K ACCEPT     all  --  any    ppp0    adsl-194-220-49-19.kmtn.ru  anywhere
    0     0 DROP       all  --  any    any     anywhere             ALL-SYSTEMS.MCAST.NET
    0     0 LOG        all  --  any    any     anywhere             anywhere            LOG level warning
    0     0 DROP       all  --  any    any     anywhere             anywhere


Вот где я накосячил?

[renat906]

я правильно понял, что должно быть что-то типа 212,х,х,х:15000 <----> 10.0.0.100:80 ?
если да то нет правила переброса порта
и сейчас работает 212.x.x.x:15000 <----> 10.0.0.100:15000
а должно быть, что-то типа  iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80   -j REDIRECT --to-port 15000

[raxer]

я правильно понял, что должно быть что-то типа 212,х,х,х:15000 <----> 10.0.0.100:80
если да то нет правила переброса порта
и сейчас работает 212.x.x.x:15000 <----> 10.0.0.100:15000

Подскажите, а что прописать надо?

[terrible_user]

Код: [Выделить]

iptables -A INPUT -p tcp --destination-port 15000 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 10.0.0.100 -o eth2 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 15000 -j DNAT --to-destination 10.0.0.100:80

 ~ как то так

[raxer]

Код: [Выделить]

iptables -A INPUT -p tcp --destination-port 15000 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 10.0.0.100 -o eth2 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 15000 -j DNAT --to-destination 10.0.0.100:80

 ~ как то так

не прокатило(( всеравно не пускает(

[aSmile]

Код: [Выделить]

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --destination-port 15000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -ppp0 --dport 15000 -j DNAT --to-destination 10.0.0.100:80
Разве этих строк не должно хватить?

[roma333]

Код: [Выделить]

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -p tcp --destination-port 15000 -j ACCEPT
[b]iptables -t nat -A PREROUTING -p tcp -ppp0 --dport 15000 -j DNAT --to-destination 10.0.0.100:80[/b]
Разве этих строк не должно хватить?

Выделенная жирным строчка должна, наверное, выглядеть так:

Код: [Выделить]

iptables -t nat -A PREROUTING -i ppp0 -p tcp  --dport 15000 -j DNAT --to-destination 10.0.0.100:80

[aSmile]

ой-ой, извиняюсь. copy+paste сделал, не обратив внимания.

[RandomNT]

в таблице FORWARD порт должен быть 80

Код: [Выделить]

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -d 10.0.0.100 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp  --dport 15000 -j DNAT --to-destination 10.0.0.100:80
На компе 10.0.0.100 шлюзом должна быть прописана Ubuntu.
И вариант terrible_user должен был сработать.
Пользователь решил продолжить мысль [time]Fri Feb  5 16:41:23 2010[/time]:да, форвардинг пакетов разрешить же надо

Код: [Выделить]

echo "1" > /proc/sys/net/ipv4/ip_forwardхотя он наверно разрешен

[raxer]

в таблице FORWARD порт должен быть 80

Код: [Выделить]

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -d 10.0.0.100 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp  --dport 15000 -j DNAT --to-destination 10.0.0.100:80
На компе 10.0.0.100 шлюзом должна быть прописана Ubuntu.
И вариант terrible_user должен был сработать.
Пользователь решил продолжить мысль [time]Fri Feb  5 14:41:23 2010[/time]:да, форвардинг пакетов разрешить же надо

Код: [Выделить]

echo "1" > /proc/sys/net/ipv4/ip_forwardхотя он наверно разрешен

Спасибо большое! Этот вариант подошел.. Там были еще некоторые проблемы с файрволом из за кучи правил которые ввел ipmasq. когда сам руками прописал нужные правила - проблема решилась..
но появилась другая.. находясь внутри сети я не могу обратиться к серверу, на который пробрасываю порты по внешнему адресу. т.е. если я нахожусь внутри сети и вбиваю адрес http://raxer.mine.ru:15000 то соединения не просиходит. если я проделываю ту же операцию, но из интернета - все отлично работает.
Пользователь решил продолжить мысль [time]Fri Feb  5 18:43:00 2010[/time]:та же проблема у меня была и когда я пользовался модемом длинка как роутером. но там  отсутствовала функция NAT Loopback. Как мне в iptables её реализовать?

[AnrDaemon]

Вот за это ipmasq и выкинули... что всё прописываемую им помойку легко заменяет одно правило, прописанное руками.

но появилась другая.. находясь внутри сети я не могу обратиться к серверу, на который пробрасываю порты по внешнему адресу. т.е. если я нахожусь внутри сети и вбиваю адрес http://raxer.mine.ru:15000 то соединения не просиходит. если я проделываю ту же операцию, но из интернета - все отлично работает.

та же проблема у меня была и когда я пользовался модемом длинка как роутером. но там  отсутствовала функция NAT Loopback. Как мне в iptables её реализовать?

Никак. Обращайтесь по внутреннему реальному адресу. (Реальному в смысле принадлежности машине, а не допустимости в интернете)

[aSmile]

можно сделать.
попробуй

Код: [Выделить]

iptables -t nat POSTROUTING -o eth2 -s 10.0.0.0/24 -j SNAT --to-source 10.0.0.1Пользователь решил продолжить мысль 05 Февраля 2010, 23:16:17:да, и в строчке

Код: [Выделить]

iptables -t nat -A PREROUTING -i ppp0 -p tcp  --dport 15000 -j DNAT --to-destination 10.0.0.100:80убрать -i ppp0

[lius]

но появилась другая.. находясь внутри сети я не могу обратиться к серверу, на который пробрасываю порты по внешнему адресу. т.е. если я нахожусь внутри сети и вбиваю адрес http://raxer.mine.ru:15000 то соединения не просиходит. если я проделываю ту же операцию, но из интернета - все отлично работает.
Пользователь решил продолжить мысль [time]Fri Feb  5 18:43:00 2010[/time]:та же проблема у меня была и когда я пользовался модемом длинка как роутером. но там  отсутствовала функция NAT Loopback. Как мне в iptables её реализовать?

Это можно реализовать через DNS сервер, чтоб на запрос внутри локалки http://raxer.mine.ru он выдавал локальный ip

[AnrDaemon]

Это можно реализовать через DNS сервер, чтоб на запрос внутри локалки http://raxer.mine.ru он выдавал локальный ip

Порты не совпадают.

[lius]

Это можно реализовать через DNS сервер, чтоб на запрос внутри локалки http://raxer.mine.ru он выдавал локальный ip

Порты не совпадают.

А сделать второй виртуальный сервер (зеркало) на 15000 порту?