[iptables][2 isp][vnc vs ssh] не работает vnc

0

0

Всех приветствую. И так рассказываю как дела.
Шлюз 192.168.1.1.
На нем поднят ppp0(1 провайдер) и стандартный шлюз 192.168.1.250(2 провайдер).
Есть машинка 192.168.1.145 на ней на порту 10105 поднят ssh и на 5900 vnc.
Шлюз на 1.145 указан 192.168.1.1.

На шлюзе:
ip rule add fwmark 1 table 102
ip route show table 102:

192.168.1.0/24 dev eth0  scope link 
default dev ppp0  scope link

Скрипты iptables на тему форварда ssh и vnc:

#Форвард ssh 1.145
iptables -I PREROUTING -t nat -p tcp --dport 10105 -i ppp0 -j DNAT --to 192.168.1.145
iptables -I FORWARD -p tcp --sport 10105 -j CONNMARK --set-mark 1

#Форвард vnc 1.145
iptables -I PREROUTING -t nat -p tcp --dport 5900 -i ppp0 -j DNAT --to 192.168.1.145
iptables -I FORWARD -p tcp --sport 5900 -j CONNMARK --set-mark 1

И вот.. проблема в том, что при попытке через ppp0 зайти по ssh все работает... а на vnc timeout...
Однако, если поставить на шлюзе default gateway ppp0, vnc отлично работает.
В чем может быть дело?

Ссылка

←	quagga и rhel 5

Collectd + прерывания

→

Немного не в тему, но: если есть ssh, может ну его, vnc светить, а поднимать тоннель?
ssh -N -L 5900:localhost:5900 -p10105 user@host

madcore ★★★★★
(18.03.10 11:51:42 MSK)

Ответ на: комментарий от madcore 18.03.10 11:51:42 MSK

Если б это делал для себя, то так бы и сделал. Но тут просит зам. ген. дира себе...

fjfalcon ★★★
(18.03.10 12:01:30 MSK) автор топика

Ссылка

В FORWARD часом трафик не режется? iptables -L FORWARD -v -n |grep 192.168.1.145

azure ★★
(18.03.10 12:11:39 MSK)

Ответ на: комментарий от azure 18.03.10 12:11:39 MSK

Нет, не режится. К сожалению...

fjfalcon ★★★
(18.03.10 12:20:37 MSK) автор топика

Ссылка

опять жалуюсь на тему отсутствия кнопки редактирования...

на 5900 не соединяется.. к сожалению... а вот при

#Форвард vnc
iptables -I PREROUTING -t nat -p tcp --dport 10040 -i ppp0 -j DNAT --to 192.168.1.145:5900
iptables -I FORWARD -p tcp --sport 5900 -j CONNMARK --set-mark 1

почему-то все отлично работает.

fjfalcon ★★★
(18.03.10 12:25:13 MSK) автор топика

Ответ на: комментарий от fjfalcon 18.03.10 12:25:13 MSK

ну, я в правилах всегда использую -j DNAT --to-destination 1.2.3.4[:567]

А такую запись как у Вас впервые увидел. Но с другой стороны, вы ведь говорите что для ssh работает, а там запись полностью аналогична.

azure ★★
(18.03.10 14:12:46 MSK)

Ответ на: комментарий от azure 18.03.10 14:12:46 MSK

вот и я о том же, что удивительно, на шлюзе никаких vnc нет, никто порт не использует, упоминаний о нем нет нигде. При попытке зайти на 5900 порт ни на машинке на 1.145 ни на шлюзе tcpdump не дал пакетов... Мистика в общем ;)

fjfalcon ★★★
(18.03.10 15:16:49 MSK) автор топика