URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86202
[ Назад ]

Исходное сообщение
"Shorewall. Форвардинг портов с номером до 1024"
Отправлено vvlad , 06-Авг-09 12:07

Hi ALL!
Есть шлюз. Стоит shorewall 3.2.3
Настроен форвард портов с внешнего интерфейса на хост в локалке.
Сейчас появилась необходимость пробросить 443 порт на внутренний вебсервер.
Столкнулся с тем, что форвард работает только для портов с номером больше 1024.
Вот так НЕ работает (не вижу пакетов на внешнем интерфейсе)
# iptables-save | grep 443
-A pptp_dnat -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.1.1.251:443
Зато работает так:
# iptables-save | grep 443
-A pptp_dnat -p tcp -m tcp --dport 1025 -j DNAT --to-destination 10.1.1.251:443
Подскажите, в чем может быть проблема.
Ядро 2.6.18
Спасибо!

Содержание

Shorewall. Форвардинг портов с номером до 1024,aaa, 14:49 , 06-Авг-09
- Shorewall. Форвардинг портов с номером до 1024,vvlad, 15:15 , 06-Авг-09

Сообщения в этом обсуждении

"Shorewall. Форвардинг портов с номером до 1024"
Отправлено aaa , 06-Авг-09 14:49

Скорее всего в цепочке FORWARD блокируются порты ниже 1025

"Shorewall. Форвардинг портов с номером до 1024"
Отправлено vvlad , 06-Авг-09 15:15

>Скорее всего в цепочке FORWARD блокируются порты ниже 1025
гм...
Я тут еще выяснил, что даже без форвардинга запросы на порты до 1024 тоже не проходят.
Но не на все. Нормально работает например smtp, http.
При коннекте на внешний интерфейс на порт 443 - tcpdump молчит
При коннекте на внутренний интерфейс на порт 443 - пакеты проходят нормально.
Порты открыты:
# iptables-save | grep 443
-A loc2fw -p tcp -m tcp --dport 443 -j ACCEPT
-A pptp2fw -p tcp -m tcp --dport 443 -j ACCEPT
Я пробовал не только 443. Та же ситуация с 444, 999 и т.п.
И еще - сервер мне достался по наследству...