DNAT перенаправление портов

0

1

Здравствуйте! Присутствует проблема. Перенаправляем порты для видео наблюдения с 2-х ip.

-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A POSTROUTING -s 10.192.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A FORWARD -d 10.193.0.3/32 -m conntrack --ctstate NEW -j ACCEPT

Если заходить с локальной сети на 10.193.0.3:8080 то все работает. TCPdump пишет.

18:06:58.997329 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [S], seq 1550724797, win 14600, options [mss 1440,sackOK,TS val 8831890 ecr 0,nop,wscale 7], length 0
18:06:58.998039 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [S.], seq 136687280, ack 1550724798, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:06:59.000020 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 1, win 115, length 0
18:06:59.016073 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 1:65, ack 1, win 7300, length 64
18:06:59.020685 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 65, win 115, length 0
18:06:59.021638 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 1:145, ack 65, win 115, length 144
18:06:59.022339 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 145, win 7300, length 0
18:06:59.114685 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 65:437, ack 145, win 7300, length 372
18:06:59.135825 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 145:297, ack 437, win 123, length 152
18:06:59.136627 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 297, win 7300, length 0
18:06:59.220982 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 437:497, ack 297, win 7300, length 60
18:06:59.263854 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 497, win 123, length 0
18:06:59.272882 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 497:949, ack 297, win 7300, length 452
18:06:59.274254 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 949, win 131, length 0
18:06:59.298846 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 949:2389, ack 297, win 7300, length 1440
18:06:59.298849 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 2389:3829, ack 297, win 7300, length 1440
18:06:59.299056 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 3829:5269, ack 297, win 7300, length 1440
18:06:59.299058 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 5269:6709, ack 297, win 7300, length 1440
18:06:59.299189 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 6709:8149, ack 297, win 7300, length 1440
18:06:59.299477 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 8149:9589, ack 297, win 7300, length 1440
18:06:59.299479 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 9589:11029, ack 297, win 7300, length 1440
18:06:59.299687 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 11029:12469, ack 297, win 7300, length 1440
18:06:59.299689 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 12469:13909, ack 297, win 7300, length 1440
18:06:59.299771 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 13909:15349, ack 297, win 7300, length 1440
18:06:59.302549 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 2389, win 154, length 0
18:06:59.302791 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 3829, win 176, length 0
18:06:59.310941 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 22549, win 469, length 0
18:06:59.310972 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 23989, win 491, length 0
18:06:59.311010 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 25429, win 514, length 0
18:06:59.311030 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 26869, win 536, length 0
18:06:59.311071 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 28309, win 559, length 0
18:06:59.311094 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 29749, win 581, length 0
18:06:59.311112 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 31189, win 604, length 0
18:06:59.311135 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 32629, win 626, length 0
18:06:59.311244 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 34069, win 649, length 0
18:06:59.311265 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 35509, win 671, length 0
18:06:59.311643 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 36949, win 694, length 0
18:06:59.311708 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 38389, win 716, length 0
18:06:59.311745 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 39829, win 739, length 0
18:06:59.311869 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 41269, win 761, length 0
18:06:59.311906 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 42073, win 784, length 0
18:07:00.144415 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 297:305, ack 42073, win 784, length 8
18:07:00.145269 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 305, win 7300, length 0
18:07:00.696975 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697041 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697093 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697096 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697130 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697166 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.766079 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766294 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766507 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766685 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767013 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767065 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:01.353003 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.354408 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [.], ack 16, win 7300, length 0
18:07:01.636460 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.637389 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [.], ack 16, win 7300, length 0
18:07:03.447159 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:03.453684 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 16, win 7300, length 0
18:07:03.662405 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8

Если снаружи заходить и снутри на внешний ip, на страницу авторизации заходит, а дальше нет.

18:09:40.691925 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [S], seq 2011636996, win 14600, options [mss 1440,sackOK,TS val 8846678 ecr 0,nop,wscale 7], length 0
18:09:40.693518 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [S.], seq 1158243796, ack 2011636997, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:09:40.694693 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 1, win 115, length 0
18:09:40.696953 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [P.], seq 1:81, ack 1, win 115, length 80
18:09:40.697711 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [.], ack 81, win 7300, length 0
18:09:41.718699 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.718821 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.720453 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 25, win 7300, length 0
18:09:41.720455 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [.], ack 25, win 7300, length 0
18:09:41.774319 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 1:105, ack 81, win 7300, length 104
18:09:41.775590 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 105, win 115, length 0
18:09:41.776567 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 105:159, ack 81, win 7300, length 54
18:09:41.778066 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [P.], seq 202:404, ack 159, win 229, length 202
18:09:41.778156 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 159, win 115, length 0
18:09:41.778964 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [.], ack 404, win 7300, length 0
18:09:41.782568 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 159:263, ack 404, win 7300, length 104
18:09:41.784697 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 263, win 229, length 0
18:09:41.785382 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 263:317, ack 404, win 7300, length 54
18:09:41.786432 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 317, win 229, length 0
18:09:42.077008 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.077830 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [.], ack 25, win 7300, length 0
18:09:42.422522 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [R.], seq 81, ack 159, win 115, length 0
18:09:42.761491 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.771119 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [.], ack 25, win 7300, length 0
18:09:44.195048 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195087 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195121 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195161 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195190 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195225 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195268 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.302494 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.302934 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303465 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303946 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.304452 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 24, win 784, length 0
18:09:44.304969 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.305549 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.722077 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 24, win 784, length 8
18:09:44.736022 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 25, win 7300, length 0
18:09:45.175156 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175218 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175248 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175270 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175308 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 24:84, ack 17, win 7300, length 60

/etc/sysctl.conf
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

Вроде бы связь есть но не пашет.

Ссылка

←	Синхронизация адресной книги из ldap на мобильники

сервер

→

схемку бы

aeX1pu2b ★
(22.12.14 19:29:40 MSK)

Ссылка

Погугли про Hairpin / Loopback NAT

whoami ★
(22.12.14 19:49:53 MSK)

Поменяй на камерах порты на уникальные и их же пробрось. То есть изнутри 8081 и извне пробрось 8081, а не 18081.

Deleted
(22.12.14 19:57:43 MSK)

Ответ на: комментарий от whoami 22.12.14 19:49:53 MSK

Погуглил, так называемый hairpin реализован в моем iptables.

fet4 ★
(22.12.14 22:22:20 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 22.12.14 19:57:43 MSK

Попробую, а что это даст?

fet4 ★
(22.12.14 22:24:07 MSK) автор топика

Ответ на: комментарий от fet4 22.12.14 22:24:07 MSK

Самое интересное что у других клиентов все работает, а этот не хочет, даже не знаю в чем проблема.

fet4 ★
(22.12.14 22:25:24 MSK) автор топика

Ссылка

Я ж написал - опиши что и куда у тебя должно пробрасываться.

Никода не используй цепочку OUTPUT для DNAT

Почитай доку, хотябы тут - http://www.opennet.ru/docs/RUS/iptables - там все на пальцах раписано, как делаются пробросы

aeX1pu2b ★
(22.12.14 22:36:13 MSK)
Последнее исправление: aeX1pu2b 22.12.14 22:36:58 MSK (всего исправлений: 1)

Добавь правило -

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

aeX1pu2b ★
(22.12.14 22:41:36 MSK)

Ответ на: комментарий от aeX1pu2b 22.12.14 22:36:13 MSK

Короче:

212.155.***.*** внешний Ip --- РОУТЕР Debian --- клиент 10.193.0.3 --- его роутер tp-link --- видео наблюдение (2 порта 8080 и 6036).

Нужно чтобы он удаленно заходил с внешнего Ip к себе на видео наблюдение и таких клиентов много. Используется два порта. Нужно чтобы он также с нутри сети мог зайти по внешнему ip.

fet4 ★
(22.12.14 22:48:03 MSK) автор топика

Ссылка

Ответ на: комментарий от aeX1pu2b 22.12.14 22:41:36 MSK

Это есть. Я не весь список правил выложил.

fet4 ★
(22.12.14 22:48:36 MSK) автор топика

Ссылка

Все равно ни че не понял - но думаю для начала с наружи должно быть так:

-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.193.0.3/32  -p tcp -m multiport --dports 80,8080,6036 -j ACCEPT

aeX1pu2b ★
(22.12.14 23:10:21 MSK)

Ссылка

Ответ на: комментарий от fet4 22.12.14 22:24:07 MSK

Были похожие проблемы. Решилось, как тебе и описал. Для каждой камеры разные непересекающиеся порты (веб-морда + видео) и такие же порты пробрасывать на шлюзе. Тогда и веб-морда работает и картинка с камеры есть.

Чтобы изнутри подлкючаться по внешнему IP, то либо DNS локально поднимать, либо гуглить Hairpin NAT.

Deleted
(23.12.14 07:49:32 MSK)

Ответ на: комментарий от Deleted 23.12.14 07:49:32 MSK

Действительно работает если указать одинаковые порты, спасибо. Интересно в связи с чем такое поведение? Некоторые перенаправления с порта на порт работают нормально.

fet4 ★
(24.12.14 12:07:32 MSK) автор топика

Ответ на: комментарий от fet4 24.12.14 12:07:32 MSK

Подозреваю, что при подключении это передаются на уровне приложения. Но свечку^W wireshark не держал.

Deleted
(24.12.14 17:31:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Синхронизация адресной книги из ldap на мобильники

Admin

сервер

→

Похожие темы