[iptables] перенаправление портов

0

0

Есть три интерфейса - eth1($IP1), eth2($IP2) и vtun0($IP0). Хочется все входящие соединения по eth2 c компа $IP на $PORT порт и по vtun0 на $PORT порт перенаправлять на интерфейс eth1. Создаю правила так:

iptables -t nat -A PREROUTING -p tcp -d $IP0 --dport $PORT -j DNAT --to-destination $IP1 iptables -t nat -A PREROUTING -p tcp -s $IP -d $IP2 --dport $PORT -j DNAT --to-destination $IP1

в результате:

host:~# iptables -L -n -t nat --line-numbers Chain PREROUTING (policy ACCEPT) num target prot opt source destination 1 DNAT tcp -- 0.0.0.0/0 $IP0 tcp dpt:$PORT to:$IP1 2 DNAT tcp -- $IP $IP2 tcp dpt:$PORT to:$IP1

Однако, при соединении телнетом к $IP0 перенаправление происходит, а к $IP2 - нет, подвисает

$IP@user:~$ telnet $IP2 $PORT Trying $IP2...

какие будут предложения по отладке?

PS если убрать -s $IP во втором правиле, telnet все равно не коннектится

PSS Дистр Debian

Ссылка

←	Погрешности ng_netflow

Проблемы с route и pptp

→

(четр, форматирование жоское) Есть три интерфейса - eth1($IP1), eth2($IP2) и vtun0($IP0). Хочется все входящие соединения по eth2 c компа $IP на $PORT порт и по vtun0 на $PORT порт перенаправлять на интерфейс eth1. Создаю правила так:

code:iptables -t nat -A PREROUTING -p tcp -d $IP0 --dport $PORT -j DNAT --to-destination $IP1

iptables -t nat -A PREROUTING -p tcp -s $IP -d $IP2 --dport $PORT -j DNAT --to-destination $IP1

в результате:

code:host:~# iptables -L -n -t nat --line-numbers

Chain PREROUTING (policy ACCEPT)

num target prot opt source destination

1 DNAT tcp -- 0.0.0.0/0 $IP0 tcp dpt:$PORT to:$IP1

2 DNAT tcp -- $IP $IP2 tcp dpt:$PORT to:$IP1

Однако, при соединении телнетом к $IP0 перенаправление происходит, а к $IP2 - нет, подвисает

code:$IP@user:~$ telnet $IP2 $PORT

Trying $IP2...

какие будут предложения по отладке?

ЗЫЖ если убрать -s $IP во втором правиле, telnet все равно не коннектится

anonymous
(14.06.06 23:56:59 MSD)

Ответ на: комментарий от anonymous 14.06.06 23:56:59 MSD

Попробуй по анологии (единственным перенаправлением) -
iptables -t nat -A PREROUTING -p tcp -d $IP2 --dport $PORT -j DNAT --to-destination $IP1

Думаю, должно работать.. А вообще-то это некорректные правила.. В данном случае тебе стоило бы не по IP перенаправлять, а по портам..

MiracleMan ★★★★★
(15.06.06 01:03:54 MSD)

Ответ на: комментарий от MiracleMan 15.06.06 01:03:54 MSD

>>iptables -t nat -A PREROUTING -p tcp -d $IP2 --dport $PORT -j DNAT --to-destination $IP1 я написал, что так не работает

>> А вообще-то это некорректные правила.. В данном случае тебе стоило бы не по IP перенаправлять, а по портам.. почему некорректные?

anonymous
(15.06.06 01:23:50 MSD)

Ответ на: комментарий от anonymous 15.06.06 01:23:50 MSD

сравни -
твоё - iptables -t nat -A PREROUTING -p tcp -s $IP -d $IP2 --dport $PORT -j DNAT --to-destination $IP1

моё - iptables -t nat -A PREROUTING -p tcp -d $IP2 --dport $PORT -j DNAT --to-destination $IP1

Разницу улавливаешь?

>почему некорректные?

Потому, что в них присутствует неоднозначность..

MiracleMan ★★★★★
(15.06.06 01:28:26 MSD)

Ответ на: комментарий от MiracleMan 15.06.06 01:28:26 MSD

>> ЗЫЖ если убрать -s $IP во втором правиле, telnet все равно не коннектится в первом посте написано ;)

anonymous
(15.06.06 01:31:21 MSD)

Ссылка

Ответ на: комментарий от MiracleMan 15.06.06 01:28:26 MSD

>>Потому, что в них присутствует неоднозначность..

хорошо, как осуществить вот это:

>>Есть три интерфейса - eth1($IP1), eth2($IP2) и vtun0($IP0). Хочется все входящие соединения по eth2 c компа $IP на $PORT порт и по vtun0 на $PORT порт перенаправлять на интерфейс eth1

anonymous
(15.06.06 01:32:31 MSD)

Ответ на: комментарий от anonymous 15.06.06 01:32:31 MSD

iptables -t nat -A PREROUTING -p tcp -s $IP -d $IP2 --dport $PORT -j DNAT --to-destination $IP1:$PORT
iptables -t nat -A PREROUTING -p tcp -d $IP0 --dport $PORT -j DNAT --to-destination $IP1:$PORT

anonymous
(15.06.06 01:59:47 MSD)

Ответ на: комментарий от anonymous 15.06.06 01:59:47 MSD

явное указание порта не помогло

anonymous
(15.06.06 02:07:10 MSD)

Ответ на: комментарий от anonymous 15.06.06 02:07:10 MSD

а какие симптомы? может дело в связи сеток твоих между собой и в маршрутах? запрос приходит, а как его обратно доставить система не знает... проверь маршрутизацию на всякий случай...

anonymous
(15.06.06 02:14:38 MSD)

Ответ на: комментарий от anonymous 15.06.06 02:07:10 MSD

А попробуй вот так - iptables -t nat -A PREROUTING -p tcp -d $IP2 --dport $PORT -j DNAT --to-destination $IP1:$PORT iptables -t nat -A PREROUTING -p tcp -d $IP0 --dport $ANOTHERPORT -j DNAT --to-destination $IP1:$PORT

MiracleMan ★★★★★
(15.06.06 02:16:27 MSD)

Ссылка

Ответ на: комментарий от anonymous 15.06.06 02:07:10 MSD

А попробуй вот так -
iptables -t nat -A PREROUTING -p tcp -d $IP2 --dport $PORT -j DNAT --to-destination $IP1:$PORT
iptables -t nat -A PREROUTING -p tcp -d $IP0 --dport $ANOTHERPORT -j DNAT --to-destination $IP1:$PORT

MiracleMan ★★★★★
(15.06.06 02:17:16 MSD)

Ответ на: комментарий от anonymous 15.06.06 02:14:38 MSD

пакеты до iptables доходят, так как счетчики увеличиваются

anonymous
(15.06.06 02:19:55 MSD)

Ответ на: комментарий от anonymous 15.06.06 02:19:55 MSD

щёчки не показатель, не сильно ориентируйся на них, запрос то приходит (щёчик крутится), но как ему ответить обратно на этот запрос? проверь все таки маршрутизацию... С иптаблес больше ты ничего не придумаешь :)

anonymous
(15.06.06 02:25:49 MSD)