LINUX.ORG.RU

проброс портов iptables

 ,


0

2

всю голову уже сломал, проблема следующая:
есть сервер шлюз (gw) и сервер (srv)
[inet] <--> [gw] <--> [srv]
на svr правил iptables нет никаких, пусто
на srv есть asterisk (порт udp 5060) и nginx (порт tcp 443)
на gw нет никаких правил блокирующих или как-то затрагивающих порты 5060 и 444
на gw два проброса:
iptables -t nat -A PREROUTING -p udp -d ip.ip.ip.ip --dport 5060 -j DNAT --to-destination 192.168.200.102:5060
iptables -t nat -A PREROUTING -p tcp -d ip.ip.ip.ip --dport 444 -j DNAT --to-destination 192.168.200.102:443

астериск работает нормально, а nginx не хочет (хотя раньше работал), если сканировать внешний ip, то порт 444 filtered, если удалить правило проброса, то просто clossed, при этом если если проброс делать утилитой redir, которая ждёт коннектов на указанный порт, и устанавливает коннект с удалённым хостом, то всё работает (при удалённом правиле проброса), в чём может быть дело?

★★

tcpdump на srv
14:56:58.404858 IP 192.168.200.6.36228 > 192.168.200.102.https: Flags [S ], seq 999868076, win 64240, options [mss 1460,sackOK,TS val 1920607583 ecr 0,nop,wscale 8], length 0
14:56:58.404969 IP 192.168.200.102.https > 192.168.200.6.36228: Flags [S.], seq 2174318459, ack 999868077, win 28960, options [mss 1460,sackOK,TS val 1021474599 ecr 1920607583,nop,wscale 7], length 0
14:56:58.405077 IP 192.168.200.6.36228 > 192.168.200.102.https: Flags [R], seq 999868077, win 0, length 0

MaR ★★
() автор топика
Ответ на: комментарий от MaR

Это tcpdump в результате чего?

Лучше посмотрите на внешнем интерфейсе, что приходит, и посмотрите на клиенте, которым пытаетесь подключиться, какие пакеты он отправляет.

mky ★★★★★
()
Ответ на: комментарий от MaR

У вас со стороны «gw» или «inet» идёт обрыв соединения:

14:56:58.404858 IP 192.168.200.6.36228 > 192.168.200.102.https: Flags [S ], seq 999868076, win 64240, options [mss 1460,sackOK,TS val 1920607583 ecr 0,nop,wscale 8], length 0

Тут «srv» получил SYN-пакет

14:56:58.404969 IP 192.168.200.102.https > 192.168.200.6.36228: Flags [S.], seq 2174318459, ack 999868077, win 28960, options [mss 1460,sackOK,TS val 1021474599 ecr 1920607583,nop,wscale 7], length 0

Тут «srv» ответил SYN-ACK, согласен принимать данные

14:56:58.405077 IP 192.168.200.6.36228 > 192.168.200.102.https: Flags [R], seq 999868077, win 0, length 0

А вот тут «srv» получил пакет Reset Connection

DiMoN ★★★
()