Проброс трафика по порту

на второй машине не хватает маршрута к src через 172.16.8.46

не хватает правила iptables? Можно пример?

Или именно маршрута в сети? Если второе, то как я могу маршрутизировать только один порт? Ведь на машине крутится backend и def gw нужен для всего остального.

правила iptables?

ip route

Или именно маршрута в сети?

на втором хосте

только один порт?

не порт, а src IP. тот, с которого ты на этот порт ходишь.

def gw нужен для всего остального.

ну вот пусть и остается для всего остального. А для хоста/хостов с которых подключаешься на этот порт добавь выделенный маршрут

текущая таблица

172.16.8.0      0.0.0.0         255.255.255.0   U         0 0          0 eth3
0.0.0.0         172.16.8.1      0.0.0.0         UG        0 0          0 eth3

Так что ли?

route add -host 172.16.8.46 gw 172.16.8.46

а чего хост и gw одно и то же? Хост должно быть что-то вроде 203.0.113.2 или откуда там пакеты летят

но вот ответы назад не идут, а улетают на default gw этой сети 172.16.8.1. Чего не хватает в правилах?
$ iptables -t nat -A PREROUTING -d 8.8.8.8 -p tcp -m tcp --dport 9091 -j DNAT --to-destination 172.16.8.25:9091
$ iptables -t nat -A POSTROUTING -s 172.16.8.25 -p tcp -m tcp --dport 9091 -j SNAT --to-source 8.8.8.8

«У меня кот второй день полиэтилен жрет. Может ему чего-то не хватает? »
«Мозгов»
Как-то так было из башорга.

Совсем недавно тут обсуждали вопрос SNAT vs MASQ почему MASQ срабатывает, а SNAT не работает. Вот теперь посмотрите на свой --dport в POSTROUTING и включите голову.

ну так они снаружи ж летят, максимум что можно прописать

route add -host 8.8.8.8 gw 172.16.8.46

И что с ним не так?

ну так они снаружи ж летят

Как будто снаружи нет IP адресов

а я откуда знаю с какой точки мира придет подключение?

Хз, я как-то всегда знаю IP хостов с которых подключаюсь извне (на самомделе я даже для себя напрямую порты в локалку не прокидываю). Но если тебе вдруг захотелось всему миру пробросить порт до сервака в локалке через каой-то левый маршрутизатор, то можешь попробовать как-то так:
на «втором компе» создай еще одну таблицу маршрутизации (man LARTC), добавь туда твой роутер дефолтным шлюзом, создай правило (ip rule) чтоб исходящие пакеты с меткой (fwmark) роутились через неё, в iptables замаркируй (--set-mark) исходящие пакеты с src port 9091 соответствующей меткой.

Ты, похоже, забыл NEW для conntrack

Если на шлюзе 172.16.8.46(8.8.8.8) уже настроен NAT(читай работает инет для локалки), то больше ничего не требуется.

iptables -t nat -A PREROUTING -d 8.8.8.8 -p tcp -m tcp --dport 9091 -j DNAT --to-destination 172.16.8.25
iptables -t filter -o ens160 -d 172.16.8.25 -p tcp --dport 9091 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -i ens160 -s 172.16.8.25 -p tcp --sport 9091 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

P.S. Клоунов пятизвездочных не слушай

лол, ты ОП то до конца дочитай

но вот ответы назад не идут, а улетают на default gw этой сети 172.16.8.1

--dport из второго правила. предполагаю что хотели сказать sport. Но это лирика хотя тоже имеет значение когда пишите правила. Вам не хватает snat iptables -t nat -A POSTROUTING -d 172.16.8.25 -p tcp -m tcp --dport 9091 -j SNAT --to-source 172.16.8.46

Сорян, упустил

т.е. вот это

iptables -t nat -A POSTROUTING -d 172.16.8.25 -p tcp -m tcp --dport 9091 -j SNAT --to-source 172.16.8.46

iptables -t nat -A POSTROUTING -s 172.16.8.25 -p tcp -m tcp --dport 9091 -j SNAT --to-source 8.8.8.8

нет, это дополнительное правило

Да.

Нет.

Тред печали.

ну да, всему миру.похоже что так и придется, потому как сейчас прекрасно вижу пакеты с уже подмененным адресом на def gw. все эти схемы с prerouting и postrouting походу работают только если шлюз является def gw для сети

Не только, но в твоем случае уже нужен не столько навык администрирования, сколько костылестроения.

все эти схемы с prerouting и postrouting походу работают только если шлюз является def gw для сети

А я говорил что snat для неосиляторов. Используйте MASQ и все у вас внезапно заработает. Но вот почему заработает? А патаму что мы как минимум не показали тот же iptables-save, ip a, ip r

короче пробросил через xinetd