Порт мапинг в iptables. Проблема!!!
Проблема!
Прочитал кучу форумов. Прочитал перевод по iptables. Крыша уже едет, а в чем проблема понять не могу.
Теперь суть:
Использован ASPLinux 11.2 (Пробовал на Mandriva 2007).
Сеть 193.168.183.0 Серве serv2 - 192.168.183.2. Выход в интернет. На нем установлен почтовый сервер (порты 8090, 8091), HTTP сервер (порт 9120). Серве serv3 - 192.168.183.3. Файл сервер.
Теперь, что нужно:
Нужно, чтобы пользователи локальной сета 193.168.183.0 обращаясь к оределенному порту сервера serv3 перебрасывались на serv2 или в Интернет:
- обращаясь на порт 3129 --> на локальный HTTP сервер 192.168.183.2 на порт 9120
- обращаясь на порт 8094 --> на почторый сервер pop.bk.ru на порт 110
- обращаясь на порт 8095 --> на почторый сервер smtp.bk.ru на порт 25
- обращаясь на порт 25 --> на локальный почторый сервер 192.168.183.2 на порт 8091
- обращаясь на порт 110 --> на локальный почторый сервер 192.168.183.2 на порт 8090
----------------------------------------------------------------------
Вот файл полученный коммандой iptables-save, может сдесь где ошибка?
# Generated by iptables-save v1.3.5 on Mon Jun 4 16:49:39 2007
*nat
:PREROUTING ACCEPT [7:954]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [17:3115]
-A PREROUTING -p tcp -m tcp --dport 3129 -j DNAT --to-destination 192.168.183.2:9120
-A PREROUTING -p tcp -m tcp --dport 8094 -j DNAT --to-destination 194.67.23.8:110
-A PREROUTING -p tcp -m tcp --dport 8095 -j DNAT --to-destination 194.67.23.114:25
-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.183.2:8091
-A PREROUTING -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.183.2:8090
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 4 16:49:39 2007
# Generated by iptables-save v1.3.5 on Mon Jun 4 16:49:39 2007
*mangle
:PREROUTING ACCEPT [316296:15816700]
:INPUT ACCEPT [315683:15781544]
:FORWARD ACCEPT [613:35156]
:OUTPUT ACCEPT [316434:35220097]
:POSTROUTING ACCEPT [317011:35254369]
COMMIT
# Completed on Mon Jun 4 16:49:39 2007
# Generated by iptables-save v1.3.5 on Mon Jun 4 16:49:39 2007
*filter
:INPUT ACCEPT [5:200]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:200]
:MyRULES - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -j MyRULES
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state NEW -j MyRULES
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW -j MyRULES
-A MyRULES -j ACCEPT
COMMIT
# Completed on Mon Jun 4 16:49:39 2007
----------------------------------------------------------------------
Причем эта штука то работает, а то вдруг перестаёт.
Конструкция
-A INPUT -m state --state NEW -j MyRULES
-A MyRULES -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW -j MyRULES
Нужна для того, чтоб все NEW пакеты шли по цепочке MyRULES которая в дальнейшем будет настраиваться.
Существуют ли инструменты для тестирования и настройки iptables?