IPTABLES

0

1

Суть такая
С сервера на порт ХХХХ идет траффик с разных ip, надо перенаправить трафик на мой ноут на порт YYYY. К интернету я подключен через мобильный мегафон и статического IP нету, я использую подключение VPN через этот же сервер.

Ссылка

←	Откуда взялася $MAINPID?

Авторизация в LDAP адресной книге Thunderbird без пароля

→

И в чём именно проблема?

Black_Shadow ★★★★★
(09.06.18 12:16:40 MSK)

Ответ на: комментарий от Black_Shadow 09.06.18 12:16:40 MSK

как это осуществить?

NoBaI
(09.06.18 12:19:01 MSK) автор топика

Ответ на: комментарий от NoBaI 09.06.18 12:19:01 MSK

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -p tcp -d адрес-ноута --dport YYYY -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport XXXX -j REDIRECT --to-destination адрес-ноута:YYYY
iptables -t nat -A POSTROUTING -p tcp -d адрес-ноута --dport YYYY -j MASQUERADE

Писал по памяти, где-то могут быть ошибки.

Black_Shadow ★★★★★
(09.06.18 13:18:57 MSK)
Последнее исправление: Black_Shadow 09.06.18 13:19:10 MSK (всего исправлений: 1)

Ответ на: комментарий от Black_Shadow 09.06.18 13:18:57 MSK

наверное, проще и стабильнее в этом случае использовать ssh-проброс порта

targitaj ★★★★★
(09.06.18 13:41:29 MSK)

Ответ на: комментарий от targitaj 09.06.18 13:41:29 MSK

Спорно. Кому как удобнее. Если временно, ssh, возможно, будет удобнее. Если постоянно, то лучше iptables. По поводу стабильности - не понял, чем ssh стабильнее.

Black_Shadow ★★★★★
(09.06.18 14:51:25 MSK)

Ответ на: комментарий от Black_Shadow 09.06.18 13:18:57 MSK

Много хлама. 1, 2 и 4 правила у него уже есть. (4-е ты чушь написал).

ТС достаточно:

iptables -t nat -A PREROUTING -p tcp --dport XXXX -j DNAT --to-destination адрес-ноута:YYYY

Anoxemian ★★★★★
(09.06.18 14:56:06 MSK)
Последнее исправление: Anoxemian 09.06.18 14:56:23 MSK (всего исправлений: 1)

Ответ на: комментарий от Black_Shadow 09.06.18 14:51:25 MSK

у него динамически назначаемый ip адрес, ssh проброс тупо удобнее рулить

targitaj ★★★★★
(09.06.18 15:24:07 MSK)

Ответ на: комментарий от Anoxemian 09.06.18 14:56:06 MSK

Нет, не достаточно, хлам в твоей голове, сети бывают чуть сложнее домашней локалки с единственным роутером, являющимся шлюзом по умолчанию. Если у него VPN сервер не является шлюзом по умолчанию, твоё единственное правило работать не будет.

Black_Shadow ★★★★★
(09.06.18 15:55:01 MSK)
Последнее исправление: Black_Shadow 09.06.18 15:58:41 MSK (всего исправлений: 3)

Ссылка

Ответ на: комментарий от targitaj 09.06.18 15:24:07 MSK

у него динамически назначаемый ip адрес

У него VPN.

Black_Shadow ★★★★★
(09.06.18 15:55:18 MSK)

Ответ на: комментарий от Black_Shadow 09.06.18 15:55:18 MSK

без разницы. SSH-туннель безотказнее автомата Калашникова, проверено практикой.

targitaj ★★★★★
(09.06.18 15:59:05 MSK)
Последнее исправление: targitaj 09.06.18 15:59:41 MSK (всего исправлений: 1)

Ответ на: комментарий от targitaj 09.06.18 15:59:05 MSK

Ещё раз. У него VPN до сервера, которым он рулит. Ему ничего не мешает сделать для себя в этом VPN статический адрес.

Black_Shadow ★★★★★
(09.06.18 16:00:03 MSK)

Ссылка

Ответ на: комментарий от targitaj 09.06.18 15:59:05 MSK

Уровни инкапсуляции посчитай. Тебе не кажется, что твоё решение, мягко говоря, через жопу?

Black_Shadow ★★★★★
(09.06.18 16:01:01 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 09.06.18 14:56:06 MSK

И, конечно, DNAT, а не REDIRECT, здесь моя ошибка. В остальном, у меня всё верно.

Black_Shadow ★★★★★
(09.06.18 16:59:50 MSK)
Последнее исправление: Black_Shadow 09.06.18 17:00:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Black_Shadow 09.06.18 14:51:25 MSK

Если временное/для дебага, то ssh наверное правильнее. На сервере трогать ничего не надо, достаточно чтобы был разрешен форвардинг портов ssh. Набрал командочку с ноута и пошел работать...

Правда, если этот порт кто-то (какой-либо процесс) слушает на сервере, то скорее всего ssh не сможет забиндиться на него, а DNAT должен работать, если я все правильно понимаю, если не прав, поправьте плиз.

samson ★★
(10.06.18 00:29:07 MSK)