проброс портов

0

1

имеется ред хат 9. нужно пробросить порт 5622 из внешней сети ко внутреннему компу на 22. состояние iptables на данный момент:

root@bib root]# iptables-save
# Generated by iptables-save v1.2.7a on Tue Jun 29 18:31:12 2010
*nat
:PREROUTING ACCEPT [1163:97618]
:POSTROUTING ACCEPT [18:1136]
:OUTPUT ACCEPT [18:1136]
-A PREROUTING -d 81.24.86.203 -p tcp -m tcp --dport 5622 -j DNAT -- to-destination 10.10.1.15:22
COMMIT
# Completed on Tue Jun 29 18:31:12 2010
# Generated by iptables-save v1.2.7a on Tue Jun 29 18:31:12 2010
*filter
:INPUT ACCEPT [184:12477]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [224:13991]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1521 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5622 -j ACCEPT
-A FORWARD -d 10.10.1.15 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 10.10.1.15 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1521 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 5622 -j ACCEPT
COMMIT
# Completed on Tue Jun 29 18:31:12 2010

после выполнения

-A PREROUTING -d 81.24.86.203 -p tcp -m tcp --dport 5622 -j DNAT --to-destination 10.10.1.15:22

состояние порта меняется с closed на filtered (показания нмапа). что я делаю не так?

Ссылка

←	anon_root=/var/ftp в игноре. причина.

Удаленный рабочий стол в Debian

→

Это вот так зачем ? Может где-то d заменить на s или i на o ?

-A FORWARD -d 10.10.1.15 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

-A FORWARD -d 10.10.1.15 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

Впрочем, при FORWARD ACCEPT, это не важно...

А что говорит cat /proc/sys/net/ipv4/ip_forward ?

AS ★★★★★
(29.06.10 19:37:21 MSD)

Ответ на: комментарий от AS 29.06.10 19:37:21 MSD

>Это вот так зачем ? Может где-то d заменить на s или i на o ?

действительно, не нужно. результат тот же

А что говорит cat /proc/sys/net/ipv4/ip_forward ?

а туда я ручками 1 отправляю

~~xsektorx~~ ★★★
(29.06.10 19:47:14 MSD) автор топика

Ссылка

POSTROUTING настроить вера не позволяет?

anonymous
(29.06.10 22:38:43 MSD)

и нафига в *filter писать стока разрешающих правил если у Вас политики по умолчанию ACCEPT для всех цепочек...
:INPUT ACCEPT [184:12477]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [224:13991]

dr0n
(30.06.10 00:00:29 MSD)

Либо 10.10.1.15:22/tcp filtered (посмотри nmap'ом со своего хоста), либо твой хост не является шлюзом для 10.10.1.15 на обратном маршруте.
В последнем случае должно помочь
iptables -t nat -A POSTROUTING -o внутренний_интерфейс -d 10.10.1.15 -p tcp --dport 22 -j MASQUERADE

nnz ★★★★
(30.06.10 00:22:29 MSD)

Ответ на: комментарий от anonymous 29.06.10 22:38:43 MSD

я не шарю в сетях, первый раз дело имею с чем-то сложнее ифконфига

~~xsektorx~~ ★★★
(30.06.10 00:25:41 MSD) автор топика

Ссылка

Ответ на: комментарий от dr0n 30.06.10 00:00:29 MSD

для етх1 не ассерт, да и писал не я

~~xsektorx~~ ★★★
(30.06.10 00:26:56 MSD) автор топика

Ответ на: комментарий от nnz 30.06.10 00:22:29 MSD

открыто, даже нмап подтверждает, но команда не помогла. это могут быть косяки в самом ред хате?

~~xsektorx~~ ★★★
(30.06.10 00:31:36 MSD) автор топика

Ответ на: комментарий от xsektorx 30.06.10 00:31:36 MSD

Нет. Могут быть косяки во введенной команде. Покажи полный вывод iptables -vnL.

nnz ★★★★
(30.06.10 00:41:41 MSD)

Ответ на: комментарий от xsektorx 30.06.10 00:26:56 MSD

iptables -t nat -A POSTROUTING -o [интерфейс на котором ип 81.24.86.203 (видимо eth0) ] -p tcp --dport 22 -j MASQUERADE

и на машине 10.10.1.15
ip r add default via [IP eth1 видимо]

ну и это
-A PREROUTING -d 81.24.86.203 -p tcp -m tcp --dport 5622 -j DNAT — to-destination 10.10.1.15:22
оставить как есть..

dr0n
(30.06.10 10:11:11 MSD)