iptables с localhost до lan

0

1

Подключаюсь к сервису на сервере через проброс порта через ссш тунель, все работало замечательно, пока сервис не переехал дальше за шлюз.

Можно как то подключение к порту локалхоста перенаправить на порт в локальной сети через iptables ???

Форвардинг порта без ссш тунеля работает, но не для локалхоста почему то

←	Нетривиальные RDP сеансы

Связка Apache2 + MySql логи

→

ты про разницу -j REDIRECT и -j DNAT?

Anoxemian ★★★★★
(19.12.22 12:21:30 MSK)

Ответ на: комментарий от Anoxemian 19.12.22 12:21:30 MSK

разве REDIRECT не в пределах хоста только работает?

DNAT да почему то у меня с локалхоста на сервер в локалке не перекидывает

wolverin ★★★
(19.12.22 12:24:51 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 12:24:51 MSK

похоже нашел

PREROUTING isn’t used by the loopback interface, you need to also add an OUTPUT rule

https://serverfault.com/questions/211536/iptables-port-redirect-not-working-for-localhost

wolverin ★★★
(19.12.22 12:30:14 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 12:30:14 MSK

что то не хотит все равно

iptables -t nat -A OUTPUT -d 127.0.0.1/32 -o lo -p tcp -m tcp -m multiport --dports 1111,2222 -m comment --comment tunnel -j DNAT --to-destination 192.168.x.x

sysctl -w net.ipv4.conf.all.route_localnet=1

wolverin ★★★
(19.12.22 12:56:15 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 12:56:15 MSK

Если я правильно понял, у тебя галиматья написана.

iptables -t nat -A PREROUTING -i lo -p tcp -m tcp -m multiport --dports 1111,2222 -m comment --comment tunnel -j DNAT --to-destination 192.168.x.x

UPD.

Проверил, все не так. Тебе, видимо, просто SNAT не хватает, а так все верно вроде бы.

Anoxemian ★★★★★
(19.12.22 13:05:54 MSK)
Последнее исправление: Anoxemian 19.12.22 13:26:13 MSK (всего исправлений: 2)

Ответ на: комментарий от Anoxemian 19.12.22 13:05:54 MSK

таблес это съел, но работать все равно не начало

wolverin ★★★
(19.12.22 13:27:56 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 13:27:56 MSK

тебе надо SNAT добавь, то что я написал - удали, я тупанул. iptables -t nat -A POSTROUTING -o {192.168.x.x_INTERFACE} -j SNAT --to-source {YOUR_LOCAL_192.168.x.x}

Ибо твой 192.168.x.x понятия не имеет о 127.0.0.1, который сгенерил запрос )

Anoxemian ★★★★★
(19.12.22 13:30:18 MSK)

Ответ на: комментарий от Anoxemian 19.12.22 13:30:18 MSK

извините, не понимаю зачем SNAT нужен, мне нужно чтобы пакеты идущие на локалхост ушли на сервер в локальной сети, а не менялся источник пакетов

пакеты все однозначно приходят на интерфейс lo, но там на шлюзе никто их не слушает, их слушают по другому ip на этих же портах

wolverin ★★★
(19.12.22 13:35:28 MSK) автор топика
Последнее исправление: wolverin 19.12.22 13:36:14 MSK (всего исправлений: 1)

Ответ на: комментарий от wolverin 19.12.22 13:35:28 MSK

возможно разрешение в FORWARD не хватает с lo на внутренний интерфейс…

wolverin ★★★
(19.12.22 13:37:44 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 13:35:28 MSK

Извиняю, у тебя на сервер летит пакет с источником 127.0.0.1 -> 192.168.x.x Куда ответ последует? Просто сделай.

Тебе надо из пакета

127.0.0.1 => 127.0.0.1:1111 надо сделать 192.168.х.х => 192.168.x.x:1111

это dnat+snat

Anoxemian ★★★★★
(19.12.22 13:39:43 MSK)
Последнее исправление: Anoxemian 19.12.22 13:41:35 MSK (всего исправлений: 1)

Ответ на: комментарий от Anoxemian 19.12.22 13:39:43 MSK

это вместе с моим правилом нужно ваше добавить? или одно ваше? если только последнее, то ничего такой трафик само по себе не создает 127.0.0.1 -> 192.168.x.x

wolverin ★★★
(19.12.22 13:42:46 MSK) автор топика

Ответ на: комментарий от Anoxemian 19.12.22 13:39:43 MSK

это dnat+snat

спасибо, проверяю

wolverin ★★★
(19.12.22 13:43:33 MSK) автор топика

Ответ на: комментарий от wolverin 19.12.22 13:43:33 MSK

Я уже проверил, потому и написал что тупанул. Думал о транзите, а у тебя ж локальная генерация.

Anoxemian ★★★★★
(19.12.22 13:45:36 MSK)

Можно средствами ssh указать адрес проброса, не помню только как,
на подобии ssh ssh@www.net -p 22 -ключXYLтипа 127.0.0.1:2222:192.168.x.x:2222
А потом во втором терминале ssh ssh@127.0.0.1 -p 2222 подключиться уже к 192.168.x.x через www.net

drl
(19.12.22 22:14:43 MSK)

Непонятно ничего, объясните для тех кому, ехать, а не шашечки.

drl
(19.12.22 22:24:15 MSK)

Ответ на: комментарий от Anoxemian 19.12.22 13:30:18 MSK

спасибо, действительно вашего второго правила не хватало

wolverin ★★★
(20.12.22 08:04:07 MSK) автор топика

Ответ на: комментарий от drl 19.12.22 22:14:43 MSK

нет у меня никаких терминалов, бинарник запускает тунель и подключение к сервису в 2х потоках, просто сервер за шлюзом оказался

wolverin ★★★
(20.12.22 08:05:03 MSK) автор топика

←	Нетривиальные RDP сеансы

Admin

Связка Apache2 + MySql логи

→

Похожие темы