LINUX.ORG.RU
ФорумAdmin

ufw port forward

 


0

2

В общем есть система где есть eth0 который смотрит в мир. И есть eth2 который смотрит в локальную сетку. В локальной сетке есть ip камеры которые прекрасно смотрятся извне через тунеливание портов через ssh. После двухдневного траха был выкинут Нетворк-менеджен и настроено все через /etc/network/interfaces Но все равно ничего понять не могу. На внутренней сетке висит камера по адресу 10.54.0.21 которая отвечает на порте 554. Порт видит nmap, telnet итд. я пытаюсь отмапить порт из локальной сетки во внешний мир на порт 5000 через ufw. Добавил в before.rules

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp  --dport 5000 -j DNAT --to-destination 10.54.0.21:554 
COMMIT
открыл порт
sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
5000                       ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
5000 (v6)                  ALLOW       Anywhere (v6)
Пробую достучаться, фигвам!

Ответ на: комментарий от pavel38

sudo iptables -t nat -L -v Chain PREROUTING (policy ACCEPT 1925 packets, 102K bytes) pkts bytes target prot opt in out source destination 9 540 DNAT tcp  — eth0 any anywhere XXXXXXXXXXXXX.tvcom.net.ua tcp dpt:5000 to:10.54.0.21:554 0 0 DNAT tcp  — eth0 any anywhere anywhere tcp dpt:5000 to:10.54.0.21:554

Chain INPUT (policy ACCEPT 472 packets, 27744 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5234 packets, 329K bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 5285 packets, 332K bytes) pkts bytes target prot opt in out source destination

Artem-Dnepr
() автор топика
Ответ на: комментарий от pavel38

iptables

sudo iptables -F
sudo iptables --delete-chain
sudo iptables -A FORWARD -m state -p tcp -d 10.42.0.21 --dport 4000 --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 10.42.0.21:554
sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.42.0.21           state NEW,RELATED,ESTABLISHED tcp dpt:4000

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Не пашет. :(

Artem-Dnepr
() автор топика
Ответ на: iptables от Artem-Dnepr

добавил

sudo iptables -t nat -A POSTROUTING -o eth0 -s 10.42.0.0/24 -j MASQUERADE iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.42.0.21           state NEW,RELATED,ESTABLISHED tcp dpt:4000

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Тоже не работает. В тоже время

ssh  -L7554:10.42.0.21:554 логин@ай-пи пашет наура. 

Artem-Dnepr
() автор топика
Ответ на: комментарий от Artem-Dnepr

Так, давай сделаем проще, дай мне полный вывод

ifconfig -a ;route -n ; iptables -t nat -L -v 
в таблицу filter цепочку FORWARD можно вообще ничего не писать, у тебя и так по умолчанию там accept. В таблице NAT должно быть что то типа этого
Chain PREROUTING (policy ACCEPT 1925 packets, 102K bytes) pkts bytes target prot opt in out source destination 
9 540 DNAT tcp  — eth0 any anywhere XXXXXXXXXXXXX.tvcom.net.ua tcp dpt:5000 to:10.54.0.21:554 0 0 DNAT tcp  — eth0 any anywhere anywhere tcp dpt:5000 to:10.54.0.21:554

Chain INPUT (policy ACCEPT 472 packets, 27744 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5234 packets, 329K bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 5285 packets, 332K bytes) pkts bytes target prot opt in out source destination 
    0     0 MASQUERADE  all  --  *      eth0    10.54.0.0/24         0.0.0.0/0
свои ip-адреса подставишь сам , а то у тебя в одном месте 10.54.0.21 а в другом 10.42.0.21

И да, не забудь про

echo 1 >/proc/sys/net/ipv4/ip_forward

pavel38
()
Ответ на: комментарий от Artem-Dnepr

Проще выполни вот это

sudo iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 10.42.0.21:554 ; iptables -t nat -A POSTROUTING -o eth0 -s 10.42.0.21 -j MASQUERADE ; echo 1 >/proc/sys/net/ipv4/ip_forward 
Это 100% работоспособный вариант для твоей камеры.

pavel38
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.