Проблема с DNAT

iptables -t nat -A PREROUTING -p tcp -d 195.1.2.3 --dport 13200 -j DNAT --to-destination 192.168.243.1 Сорри не так написал, вот то что я делаю

Странно, у меня такое же правило пробрасывает 80й порт на машину в локалке. Только ещё входной интерфейс указан -i eth0 и -m tcp...

для того что бы с инета на него конектиться еще надо правило с SNAT !
при коннекте посмотри tcpdumpom увидишь что пакеты до него доходять а вот обратно в инет ?

помимо того, что ты написал, необходимо разрешать эти пакеты в forward.

В форварде accept всем стоит... А снат вроде как и не нужен же, по крайней мере здесь - http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET так написано... да и сам попробовал - snat не помогает

Попробовал snat для всех пакетов с 192.168.243.1 - не помогает, да и сам по себе не работает :(

Может дело в том что на вин2к3 сервере 3 сетевых интерфейса объединенные в сетевой мост с одним ip(192.168.243.1), могут изза этого быть проблемы? Подскажите пожалуйста куда копать, а то я просто в растерянности полной :(

default gateway для сет моста на win2k3 стоит 192.168.243.10(ип локального интерфейса линукс сервера)

>> для того что бы с инета на него конектиться еще надо правило с SNAT !
это неверно!

Ну что, надо пакетики смотреть
tcpdump -n -i внутренний_интерфейс | grep -v то_что_мешает
должно быть примерно след.

.... интернет_адрес.port > win_radmin_address.4899 ...
.....win_radmin_address.4899 > интернет_адрес.port ....

и так далее...


Если
.... интернет_адрес.port > win_radmin_address.4899 ...
.... интернет_адрес.port > win_radmin_address.4899 ...
.... интернет_адрес.port > win_radmin_address.4899 ...

значит, пакетики не возвращаются

если все возврашается, то примерно то же смотрим на внешнем интерфейсе

Еше можно нетерминирующие правила понаписать для всех цепочек, и смотреть, есть ли там пакеты (ну и в Ваше основное правило PREROUTING надо заглянуть - кстати, в Вашем вопросе обязательно нужно было сообщить результат
iptables -nvL -t nat)

Вот результат iptables -nvL -t nat

Chain OUTPUT (policy ACCEPT 7185 packets, 557K bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 7185 packets, 557K bytes) pkts bytes target prot opt in out source destination 0 0 SNAT tcp -- * * 192.168.243.1 0.0.0.0/0 to:195.1.2.3

Chain PREROUTING (policy ACCEPT 61562 packets, 7411K bytes) pkts bytes target prot opt in out source destination 25 1444 DNAT tcp -- * * 0.0.0.0/0 195.208.242.15 tcp dpt:13200 to:192.168.243.1

Ни snat ни dnat не работают, фильтры еще есть только в -t filter, в остальных цепочках только политика ACCEPT Вот tcpdump, во время исполнения я с стороннего хоста(195.5.5.5 пытался зайти телнетом на 13200, eth7 внешний интерфейс, eth6 внутренний

bash-3.00# tcpdump -n -i eth6 | grep 13200 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth6, link-type EN10MB (Ethernet), capture size 96 bytes 23 packets captured 23 packets received by filter 0 packets dropped by kernel

bash-3.00# tcpdump -n -i eth7 | grep 13200 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth7, link-type EN10MB (Ethernet), capture size 96 bytes 17:31:48.553460 IP 195.5.5.5.2587 > 195.1.2.3.13200: S 996458114:996458114(0) win 57344 <mss 1460,nop,wscale 0,nop,nop,timestamp 95617829 0> 17:31:51.551508 IP 195.5.5.5.2587 > 195.1.2.3.13200: S 996458114:996458114(0) win 57344 <mss 1460,nop,wscale 0,nop,nop,timestamp 95618129 0> 17:31:54.750615 IP 195.5.5.5.2587 > 195.1.2.3.13200: S 996458114:996458114(0) win 57344 <mss 1460,nop,wscale 0,nop,nop,timestamp 95618449 0> ^[[A510 packets captured 510 packets received by filter 0 packets dropped by kernel

Насколько я понимаю пакеты на внутренний интерфейс просто не попадают, в чем дело не пойму совершенно, вроде как все правильно настроил... Помогите плиз чайнику :((((

Эхххх, видимо никто мне так и не поможет тут :(