shorewall и проброс портов

[VerstaK]

Поставил и настроил shorewall, хочу настроить проброс портов следующим образом:

сервер слушает порты от 4899 (стандартный RAdmin) до, предположим 5010. Необходимо сделать так, что если удаленный комп подключается на порт 5000, его перебрасывало на машину 192.168.1.2 порт 4899, если 5001 - на машину 192.168.1.3 порт 4899.

Пробовал создавать правило DNAT с такими условиями - не хочет. Нужно чтобы порт и на удаленном клиенте RAdmin, и на машине в локалке за файрволом совпадал.

Как побороть?

[yuristep]

а нечего пользоваться костылями -  хотите ходить - вставайте на ноги - Ваш shorewall не более чем конструктор к правилам iptables.
в секции *nat
-A PREROUTING -d public_ip -p tcp -m tcp --dport 5010 -j DNAT --to-destination client_ip:4899

[VerstaK]

Так мне что, shorewall сносить?
и вместо "public_IP" можно указать интерфейс? Потому как ADSL и динамический адрес

[AnrDaemon]

Читайте маны. Не придётся таких вопросов задавать...

[VerstaK]

Спасибо за совет, почитал маны.
Создал файт /etc/shorewall/start
В нем написал
iptables -t nat -A PREROUTING -p tcp -d ppp0 --dport 5000 -j DNAT --to-destination 192.168.1.2:4899

Перезапустил shorewall. По-прежнему не работает

[Eisenhorn]

А еще можно сгенерировать Shorewall'ом правила, сохранить дополнить их от себя и скормить в чистый iptables.

[FReDO]

вижу раньше ты не сталкивался с этим !

iptables -t nat -A PREROUTING -p tcp -d ppp0 --dport 5000 -j DNAT --to-destination 192.168.1.2:4899

это команда вводится в терминале
говорит она вот о чём, от входящего травика по протоколу tcp по средством ppp входящего соединения с портом 5000, направлять на ip-адрес 192.168.1.2 с портом 4899
то есть обычный проброс портов, можешь эту фразу заучить, работает она по схеме tcp-port-port-tcp так же есть вариации tcp/udp tcp/tcp udp/tcp udp/udp

[VerstaK]

При вводе в терминале команды
iptables -t nat -A PREROUTING -p tcp -d ppp0 --dport 5000 -j DNAT --to-destination 192.168.1.2:4899

ругается на то, что неизвестный интерфейс ppp0, хотья в ifconfig он выводится


В манах shorewall вычитал, что
The general form of a simple port forwarding rule in /etc/shorewall/rules is:
#ACTION   SOURCE    DEST                                          PROTO      DEST PORT(S)
DNAT      net       loc:<server local ip address>[:<server port>] <protocol> <port>

Пишу правило
DNAT NET loc:192.168.1.2:4899 tcp 5000

Что неправильно? Почему еще и командную строку использовать надо, если shorewall - это немного упрощенный iptables? Не пойму

[Mam(O)n]

После -d нужно вводить IP адрес! Читайте маны!
Пользователь решил продолжить мысль 19 Февраля 2010, 12:33:30:

       [!] -s, --source address[/mask]
              Source  specification.  Address  can be either a network name, a
              hostname (please note that specifying any name  to  be  resolved
              with a remote query such as DNS is a really bad idea), a network
              IP address (with /mask), or a plain IP address.  The mask can be
              either  a  network mask or a plain number, specifying the number
              of 1's at the left side of the network mask.  Thus, a mask of 24
              is  equivalent  to  255.255.255.0.   A  "!"  argument before the
              address specification inverts the sense of the address. The flag
              --src is an alias for this option.

       [!] -d, --destination address[/mask]
              Destination  specification.   See  the  description  of  the  -s
              (source) flag for a detailed description  of  the  syntax.   The
              flag --dst is an alias for this option.