Вопрос по порт форвардингу

[ksevelyar]

Сделал так:

sudo /sbin/iptables -P FORWARD ACCEPT
sudo /sbin/iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

sudo /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d external_ip --dport 8888 -j DNAT --to 192.168.0.2:8888
sudo /sbin/iptables -t nat -A PREROUTING -p udp -i eth0 -d external_ip --dport 8888 -j DNAT --to 192.168.0.2:8888

Но по адресу  external_ip:8888 ничего не получается (хотя через локалхост:8888 на этом компьютере всё работает).

Ипи раздаются через dhcp dnsmasq и у нужного внутреннего компьютера ипи именно 192.168.0.2 (проверил ipconfig)

[Sam Stone]

-d internal_ip лишнее. И как ты вообще предполагаешь коннектиться к к внешнему интерфейсу по внутреннему айпишнику?..

Суть форвардинга: на внешний айпишник на определенный порт стучится программа и в зависимости от настроек коннект на этот порт перенаправляется на внутренний айпишник. Т.е. зафорвардить с одного порта больше, чем на один внутренний хост, низя. (если я неправ, поправьте)

[ksevelyar]

Конечно external, а не internal

Убрал -d internal_ip - к сожалению не помогло.

[Unreg]

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2
=
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2:8888
на 192.168.0.2:8888 веб сервер?
http://anonymouse.org/cgi-bin/anon-www.cgi/http://[external_ip]
что говорит?

[ksevelyar]

на 192.168.0.2:8888 веб сервер?

Да.

Работает :

http://anonymouse.org/cgi-bin/anon-www.cgi/http://ksevelyar.ru:8888

Не работает:

http://ksevelyar.ru:8888

[Unreg]

dnat

[ksevelyar]

?

[Unreg]

прочитайте правило ещё раз
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2
всё что приходит на внешний интерфейс (eth0) на tcp порт 8888 перекинуть на 192.168.0.2 на tcp порт 8888

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Действие DNAT

DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета. Если пакет подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все последующие пакеты из этого же потока, будут подвергнуты преобразованию адреса назначения и переданы на требуемое устройство, хост или сеть. Данное действие может, к примеру, успешно использоваться для предоставления доступа к вашему web-серверу, находящемуся в локальной сети, и не имеющему реального IP адреса. Для этого вы строите правило, которое перехватывает пакеты, идущие на HTTP порт брандмауэра и выполняя DNAT передаете их на локальный адрес web-сервера. Для этого действия так же можно указать диапазон адресов, тогда выбор адреса назначения для каждого нового потока будет производиться случайнам образом.

Действие DNAT может выполняться только в цепочках PREROUTING и OUTPUT таблицы nat, и во вложенных под-цепочках. Важно запомнить, что вложенные подцепочки, реализующие DNAT не должны вызываться из других цепочек, кроме PREROUTING и OUTPUT.

Таблица 6-16. Действие DNAT

Ключ --to-destination
Пример iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10
Описание Ключ --to-destination указывает, какой IP адрес должен быть подставлен в качестве адреса места назначения. В выше приведенном примере во всех пакетах, пришедших на адрес 15.45.23.67, адрес назначения будет изменен на один из диапазона от 192.168.1.1 до 192.168.1.10. Как уже указывалось выше, все пакеты из одного потока будут направляться на один и тот же адрес, а для каждого нового потока будет выбираться один из адресов в указанном диапазоне случайным образом. Можно также определить единственный IP адрес. Можно дополнительно указать порт или диапазон портов, на который (которые) будет перенаправлен траффик. Для этого после ip адреса через двоеточие укажите порт, например --to-destination 192.168.1.1:80, а указание диапазона портов выглядит так: --to-destination 192.168.1.1:80-100. Как вы можете видеть, синтаксис действий DNAT и SNAT во многом схож. Не забывайте, что указание портов допускается только при работе с протоколом TCP или UDP, при наличии опции --protocol в критерии.

http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET

[ksevelyar]

Код: [Выделить]

прочитайте правило ещё раз
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2
всё что приходит на внешний интерфейс (eth0) на tcp порт 8888 перекинуть на 192.168.0.2 на tcp порт 8888
Да, и? Что вы хотите сказать?

Прочитал по вашей ссылке о похожей проблеме:

Код: [Выделить]

Если теперь обратиться к WEB-серверу из Интернет, то все будет работать прекрасно. Но что же произойдет, если попробовать соединиться с ним из локальной сети? Соединение просто не установится.Правда тут наверно имеется в виду из локальной сети по локальному адресу, так как по внешнему адресу я не могу пробиться даже после этого решения (в той же статье):

sudo iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.2 --dport 8888 -j SNAT --to-source 192.168.0.1

sudo iptables -t nat -A OUTPUT --dst ksevelyar.ru -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2

[Mam(O)n]

Не работает:

http://ksevelyar.ru:8888

От меня работает. Показывай полную картину sudo iptables-save.

[ksevelyar]

Вы не поняли. Работает для всех машин, кроме тех, которые находятся в моей локальной сети, а это меня совершенно не устраивает:

The above rules work fine when you access from outside, but if you try to access the same port xxx.xxx.xxx.xxx:8888 from an internal machine, it will not work. But from the internal network you dont need the forwarding, since you can directly access the machine 192.168.0.2:8888.

[Mam(O)n]

Я это понял.

Вот только не пойму, что там уже наверчено в правилах. Может в FORWARD рубится... Показывай sudo iptables-save.

[ksevelyar]

Я использую эти команды если решения не работают (чтобы не было лишних / неисправных правил):

ptables -F && iptables -X

iptables -t nat -F && iptables -t nat -X


Вот вывод этой команды:

ksevelyar@dobroserver:~$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Wed Mar 24 01:28:15 2010
*nat
:PREROUTING ACCEPT [432998:37417375]
:POSTROUTING ACCEPT [1363:101173]
:OUTPUT ACCEPT [98462:7210780]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 24 01:28:15 2010
# Generated by iptables-save v1.4.4 on Wed Mar 24 01:28:15 2010
*filter
:INPUT ACCEPT [12262703:1182602121]
:FORWARD ACCEPT [1603:140144]
:OUTPUT ACCEPT [11838658:7608432860]
COMMIT
# Completed on Wed Mar 24 01:28:15 2010

Работают три правила:

iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2

[Mam(O)n]

192.168.0.0/24 на eth1 - локалка?

Тогда добавь еще

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -o eth1 -j MASQUERADEи вместо

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2

используй

Код: [Выделить]

iptables -t nat -A PREROUTING -d ksevelyar.ru -p tcp --dport 8888 -j DNAT --to-destination 192.168.0.2

[ksevelyar]

Огромное спасибо, теперь работает.