Проброс порта внешнего интерфейса во внутренней сети

0

1

Помогите с настройкой firewall, никак не могу понять где затык. Задача такая. Есть локальная сеть которая смотрит наружу через firewall. Внешний адрес 8.2.15.2, внешний интерфейс firewall eth0, внутренняя сеть 192.168.1.0/24, внутренний интерфейс firewall eth1 В сети есть Апач сервер, извне настроен проброс порти с firewall на Апач, примерно так

-A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT --to-destination 192.168.1.22:80

и все прекрасно работает извне.

Нужно сделать возможность получать доступ к Апач серверу из внутренней сети по адресу 8.2.15.2:81. Написал вот такое правило

-A PREROUTING -i eth1 -p tcp -d 8.2.15.2 --dport 81 -j DNAT --to-destination 192.168.1.22:80

Но ничего не работает.

В чем может быть проблемма? Что я упускаю?

←	firefox открыть картинку в смотрелке не скачивая

Установка приложений: Flathub или репозиторий дистрибутива

→

Делай ещё и SNAT, подменяя адрес источника пакета на внутренний адрес шлюза для пакетов, приходящих из внутренней сети.

kostik87 ★★★★★
(06.05.23 18:32:03 MSK)

-i eth0

у тебя же есть рабочее правило, что с тобой не так? О_о

Anoxemian ★★★★★
(06.05.23 18:48:34 MSK)

Ответ на: комментарий от kostik87 06.05.23 18:32:03 MSK

Я пробовал вот так но ничего не получилось. 192.168.1.254 это адрес шлюза

-A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 80  -j SNAT --to-source 192.168.1.254

zhukovia
(06.05.23 18:52:45 MSK) автор топика

Ответ на: комментарий от Anoxemian 06.05.23 18:48:34 MSK

Оно работает только когда подключаешься извне, когда из локальной сети пытаешься зайти, то не работает. Я же писал вроде..

zhukovia
(06.05.23 18:54:07 MSK) автор топика

Ответ на: комментарий от zhukovia 06.05.23 18:52:45 MSK

Думай ещё, мне лень писать что-то ещё.

Вот тебе здесь описание по аналогичной ситуации: Проблема с почтой на перенаправлении портов. (комментарий)

Почитай для понимания того, что происходит.

kostik87 ★★★★★
(06.05.23 18:59:19 MSK)

Ответ на: комментарий от zhukovia 06.05.23 18:52:45 MSK

Разобрался или нет?

У тебя должно быть примерно так:

iptables -t nat -A PREROUTING -i eth1 -p tcp -d 8.2.15.2/32 --dport 81 -j DNAT --to-destination 192.168.1.22:80
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -d 192.168.1.22/32 -j SNAT --to-source 192.168.1.254

Ну либо правилa могут быть примерно такими:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 8.2.15.2/32 -i eth1 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.1.22:80
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.22/32 -o eth1 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254

Вообще, указывать дополнительно имена интерфейсов и IP адреса лишне, можно так:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 8.2.15.2/32 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.1.22:80
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.22/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254

kostik87 ★★★★★
(06.05.23 20:43:03 MSK)

Ответ на: комментарий от kostik87 06.05.23 20:43:03 MSK

Спасибо за подсказку. Я примерно понял в чем проблемма, но сегодня уже не могу попробовать. Буду завтра делать.

zhukovia
(06.05.23 20:47:00 MSK) автор топика

Ответ на: комментарий от kostik87 06.05.23 20:43:03 MSK

Ещё раз спасибо, все прекрасно заработало!

zhukovia
(07.05.23 07:19:08 MSK) автор топика

←	firefox открыть картинку в смотрелке не скачивая

General

Установка приложений: Flathub или репозиторий дистрибутива

→

Похожие темы