Есть прокси со статистическим ip xx.xx.105.6 (локальный ip 192.168.1.200). Настроен форвардинг с xx.xx.105.6:8080 на 192.168.1.11:80(сервер в на котором бежит приложение). Из локальной сети это не работает(из интернета работает). Т.е. запрос вида http://xx.xx.105.6:8080/cgi-bin/.../Search.exe? из локальной сети результата не дает, но если обратиться по локальному ip http://192.168.1.11/cgi-bin/.../Search.exe? все ок.
nat:
Chain PREROUTING (policy ACCEPT 80231 packets, 5884K bytes)
num pkts bytes target prot opt in out source destination
1 148K 9346K portfw 0 -- * * 0.0.0.0/0 0.0.0.0/0
2 128K 7753K jmpsquid 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
3 67632 4820K jmpim 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
4 67632 4820K jmpp3scan 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 67632 4820K jmpsip 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
6 12614 1064K MINIUPNPD 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
7 0 0 MINIUPNPD 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
8 0 0 MINIUPNPD 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
9 15 760 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8080 to:192.168.1.11Chain POSTROUTING (policy ACCEPT 8710 packets, 583K bytes)
num pkts bytes target prot opt in out source destination
1 104K 6326K MASQUERADE 0 -- * ppp0 0.0.0.0/0 0.0.0.0/0
2 0 0 MASQUERADE 0 -- * ippp0 0.0.0.0/0 0.0.0.0/0
3 0 0 MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
4 13 684 SNAT tcp -- * * 0.0.0.0/0 192.168.1.11 tcp dpt:80 to:192.168.1.200
5 96 4964 tcp -- * * 0.0.0.0/0 0.0.0.0/0
6 95 4912 tcp -- * * 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT 101K packets, 6176K bytes)
num pkts bytes target prot opt in out source destinationChain MINIUPNPD (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53137 to:192.168.1.128:53137
2 0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53137 to:192.168.1.128:53137
3 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2534 to:192.168.1.51:7734Chain im (1 references)
num pkts bytes target prot opt in out source destinationChain jmpim (1 references)
num pkts bytes target prot opt in out source destination
1 114 6334 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
2 61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
3 29606 2182K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
4 0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
5 37851 2624K im 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain jmpp3scan (1 references)
num pkts bytes target prot opt in out source destination
1 114 6334 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
2 61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
3 29606 2182K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
4 0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
5 37851 2624K p3scan 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain jmpsip (1 references)
num pkts bytes target prot opt in out source destination
1 114 6334 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
2 61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
3 29606 2182K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
4 0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
5 37851 2624K sip 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain jmpsquid (1 references)
num pkts bytes target prot opt in out source destination
1 114 6334 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
2 61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
3 29606 2182K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
4 0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
5 97945 5557K squid 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain p3scan (1 references)
num pkts bytes target prot opt in out source destinationChain portfw (1 references)
num pkts bytes target prot opt in out source destination
1 41 2140 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:53137 to:192.168.1.128:53137
2 43 3200 DNAT udp -- * * 0.0.0.0/0 xx.xx.105.6 udp dpt:53137 to:192.168.1.128:53137
3 0 0 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:5901 to:192.168.1.112:5901
4 0 0 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8081 to:192.168.1.112:80
5 5 268 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8080 to:192.168.1.11:80Chain sip (1 references)
num pkts bytes target prot opt in out source destinationChain squid (1 references)
num pkts bytes target prot opt in out source destination
1 60094 2933K REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 800filter:
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 1823K 1768M ipblock 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
2 0 0 ipblock 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
3 0 0 ipblock 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
4 3194K 2016M timedaccess 0 -- * * 0.0.0.0/0 0.0.0.0/0
5 1823K 1768M advnet 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
6 0 0 advnet 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
7 0 0 advnet 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
8 1823K 1768M spoof 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
9 0 0 spoof 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
10 0 0 spoof 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
11 30254 3249K ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
12 1340K 244M ACCEPT 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
13 1823K 1768M secin 0 -- * * 0.0.0.0/0 0.0.0.0/0
14 1823K 1768M block 0 -- * * 0.0.0.0/0 0.0.0.0/0
15 4842 400K LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
16 4842 400K REJECT 0 -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2512K 2950M ipblock 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
2 0 0 ipblock 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
3 0 0 ipblock 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
4 4167K 3418M timedaccess 0 -- * * 0.0.0.0/0 0.0.0.0/0
5 4167K 3418M secout 0 -- * * 0.0.0.0/0 0.0.0.0/0
6 1614K 464M ACCEPT 0 -- * ppp0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 2502K 2950M ACCEPT 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8 38893 2691K outbound 0 -- * ppp0 0.0.0.0/0 0.0.0.0/0 state NEW
9 0 0 ACCEPT 0 -- * ippp0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
10 0 0 ACCEPT 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 0 0 outbound 0 -- * ippp0 0.0.0.0/0 0.0.0.0/0 state NEW
12 0 0 ACCEPT 0 -- * eth1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
13 0 0 ACCEPT 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
14 0 0 outbound 0 -- * eth1 0.0.0.0/0 0.0.0.0/0 state NEW
15 9557 643K portfwf 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
16 0 0 portfwf 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
17 0 0 portfwf 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
18 1202 62840 portfwf 0 -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x1
19 0 0 ACCEPT 0 -- eth0 ipsec0 0.0.0.0/0 0.0.0.0/0
20 0 0 ACCEPT 0 -- ipsec0 eth0 0.0.0.0/0 0.0.0.0/0
21 0 0 MINIUPNPD 0 -- ppp0 !ppp0 0.0.0.0/0 0.0.0.0/0
22 0 0 MINIUPNPD 0 -- ippp0 !ippp0 0.0.0.0/0 0.0.0.0/0
23 0 0 MINIUPNPD 0 -- eth1 !eth1 0.0.0.0/0 0.0.0.0/0
24 36329 2505K LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
25 36329 2505K REJECT 0 -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT 3761K packets, 2154M bytes)
num pkts bytes target prot opt in out source destinationChain MINIUPNPD (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.128 tcp dpt:53137
2 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.128 udp dpt:53137
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.51 tcp dpt:7734Chain advnet (3 references)
num pkts bytes target prot opt in out source destinationChain allows (1 references)
num pkts bytes target prot opt in out source destination
1 386 22768 ACCEPT 0 -- * * 192.168.1.115 0.0.0.0/0
2 125 6000 ACCEPT 0 -- * * 192.168.1.130 0.0.0.0/0
3 282 13564 ACCEPT 0 -- * * 192.168.1.132 0.0.0.0/0Chain badtraffic (1 references)
num pkts bytes target prot opt in out source destinationChain block (1 references)
num pkts bytes target prot opt in out source destination
1 1810K 1767M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 0 0 ACCEPT 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
3 13195 1101K xtaccess 0 -- * * 0.0.0.0/0 0.0.0.0/0
4 13187 1101K ipsec 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
5 0 0 ipsec 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
6 0 0 ipsec 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
7 13187 1101K siprtpports 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
8 0 0 siprtpports 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
9 0 0 siprtpports 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
10 8345 700K ACCEPT icmp -- ppp0 * 0.0.0.0/0 0.0.0.0/0
11 0 0 ACCEPT icmp -- ippp0 * 0.0.0.0/0 0.0.0.0/0
12 0 0 ACCEPT icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0
13 4842 400K badtraffic 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain dmzholes (0 references)
num pkts bytes target prot opt in out source destinationChain ipblock (6 references)
num pkts bytes target prot opt in out source destinationChain ipsec (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500
2 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500
3 0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
4 0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0Chain outbound (3 references)
num pkts bytes target prot opt in out source destination
1 154 13912 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
2 38739 2677K allows 0 -- * * 0.0.0.0/0 0.0.0.0/0
3 36219 2540K outgreen 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0Chain outgreen (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
2 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
4 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:23
5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5631
6 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5631
7 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
8 2 265 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21
9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:115
10 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:115
11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
12 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:25
13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:109
14 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:109
15 214 10272 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
16 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:110
17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
18 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:143
19 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
20 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:465
21 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
22 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:995
23 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
24 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:993
25 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:119
26 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:119
27 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:563
28 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:563
29 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863
30 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1863
31 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4000
32 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4000
33 12 616 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190
34 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5190
35 14 672 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6667:7000
36 330 42130 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:6667:7000
37 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5050
38 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5050
39 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7070
40 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:7070
41 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:47624
42 1 131 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:47624
43 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
44 19 1880 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80
45 705 34740 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
46 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443Chain outorange (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain outpurple (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable
2 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22 reject-with icmp-port-unreachable
3 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 reject-with icmp-port-unreachable
4 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:23 reject-with icmp-port-unreachable
5 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5631 reject-with icmp-port-unreachable
6 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5631 reject-with icmp-port-unreachable
7 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 reject-with icmp-port-unreachable
8 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80 reject-with icmp-port-unreachable
9 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 reject-with icmp-port-unreachable
10 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443 reject-with icmp-port-unreachable
11 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 reject-with icmp-port-unreachable
12 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21 reject-with icmp-port-unreachable
13 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:115 reject-with icmp-port-unreachable
14 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:115 reject-with icmp-port-unreachable
15 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
16 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:25 reject-with icmp-port-unreachable
17 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:109 reject-with icmp-port-unreachable
18 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:109 reject-with icmp-port-unreachable
19 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 reject-with icmp-port-unreachable
20 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:110 reject-with icmp-port-unreachable
21 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 reject-with icmp-port-unreachable
22 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:143 reject-with icmp-port-unreachable
23 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 reject-with icmp-port-unreachable
24 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:465 reject-with icmp-port-unreachable
25 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 reject-with icmp-port-unreachable
26 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:995 reject-with icmp-port-unreachable
27 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 reject-with icmp-port-unreachable
28 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:993 reject-with icmp-port-unreachable
29 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:119 reject-with icmp-port-unreachable
30 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:119 reject-with icmp-port-unreachable
31 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:563 reject-with icmp-port-unreachable
32 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:563 reject-with icmp-port-unreachable
33 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 reject-with icmp-port-unreachable
34 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1863 reject-with icmp-port-unreachable
35 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4000 reject-with icmp-port-unreachable
36 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4000 reject-with icmp-port-unreachable
37 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190 reject-with icmp-port-unreachable
38 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5190 reject-with icmp-port-unreachable
39 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6667:7000 reject-with icmp-port-unreachable
40 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:6667:7000 reject-with icmp-port-unreachable
41 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5050 reject-with icmp-port-unreachable
42 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5050 reject-with icmp-port-unreachable
43 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7070 reject-with icmp-port-unreachable
44 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:7070 reject-with icmp-port-unreachable
45 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:47624 reject-with icmp-port-unreachable
46 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:47624 reject-with icmp-port-unreachable
47 0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0Chain portfwf (4 references)
num pkts bytes target prot opt in out source destination
1 49 2548 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.128 state NEW tcp dpt:53137
2 93 6941 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.128 state NEW udp dpt:53137
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.112 state NEW tcp dpt:5901
4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.112 state NEW tcp dpt:80
5 5 268 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.11 state NEW tcp dpt:80Chain secin (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT 0 -- ipsec0 * 0.0.0.0/0 0.0.0.0/0Chain secout (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT 0 -- ipsec0 * 0.0.0.0/0 0.0.0.0/0Chain siprtpports (3 references)
num pkts bytes target prot opt in out source destinationChain spoof (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 DROP 0 -- * * 192.168.1.0/24 0.0.0.0/0Chain timedaccess (2 references)
num pkts bytes target prot opt in out source destinationChain timedaction (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Denied-by-Timed-Access:-'
2 0 0 REJECT 0 -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain xtaccess (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
2 0 0 ACCEPT tcp -- ippp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
3 7 312 ACCEPT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:441
4 0 0 ACCEPT tcp -- ippp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:441
5 1 48 ACCEPT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:222
6 0 0 ACCEPT tcp -- ippp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:222
так и должно быть.
>так и должно быть.ОК. Если не затруднит расскажите почему или как поправить.
>Есть прокси со статистическим ip xx.xx.105.6 (локальный ip 192.168.1.200). Настроен форвардинг с
>xx.xx.105.6:8080 на 192.168.1.11:80(сервер в на котором бежит приложение). Из локальной сети
>это не работает(из интернета работает). Т.е. запрос вида http://xx.xx.105.6:8080/cgi-bin/.../Search.exe? из локальной
>сети результата не дает, но если обратиться по локальному ip http://192.168.1.11/cgi-bin/.../Search.exe?
>все ок.
>9 15 760 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8080 to:192.168.1.11Добавь чтобы было
10 15 760 DNAT tcp -- * * 0.0.0.0/0 192.168.1.200 tcp dpt:8080 to:192.168.1.11Я бы так не делал, а сделал бы чтобы DNS имя сервера в локальной сети разрешалось в 192.168.1.11.
>Добавь чтобы было
>10 15 760 DNAT
> tcp -- *
> *
> 0.0.0.0/0
> 192.168.1.200
>tcp dpt:8080 to:192.168.1.11
>
>Я бы так не делал, а сделал бы чтобы DNS имя сервера
>в локальной сети разрешалось в 192.168.1.11.Спасибо за ответ. Сейчас возможности проверить нет. Странно в туториале: http://www.opennet.me/docs/RUS/iptables/#DNATTARGET написано, что достаточно двух правил.
1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080 -j DNAT \
--to-destination 192.168.1.112) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT \
--to-source $192.168.1.200Извините за ламерские вопросы просто пытаюсь разобраться :)
>[оверквотинг удален]
>что достаточно двух правил.
>1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080
>-j DNAT \
>--to-destination 192.168.1.11
>
>2) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80
>-j SNAT \
>--to-source $192.168.1.200
>
>Извините за ламерские вопросы просто пытаюсь разобраться :)просто туториалы пишут для нормальных ситуаций;
совмещение шлюза, веб-сервера, жнеца и на дуде игреца на одном хосте не является нормальной ситуацией, так сказать, канонически;
обычно, тоесть, канонически, веб-сервер должен быть в демилитаризованной зоне (DMZ) межсетевого экранаP.S. прошу прощения, немного не в том контексте высказался
в данном случае совмещения веб-сервера с со шлюзом нет, зато есть совмещение DMZ с локалкой, что, опять-таки, выводит ситуацию из ряда рассматриваемых в туториалах
>в данном случае совмещения веб-сервера с со шлюзом нет, зато есть совмещение
>DMZ с локалкой, что, опять-таки, выводит ситуацию из ряда рассматриваемых в
>туториалахСовершенно верно. На данный момент нет возможности сервер вынести в DMZ. Можно ли исходя из сложившейся ситуации как то заставить это работать?
>[оверквотинг удален]
>> *
>> 0.0.0.0/0
>> 192.168.1.200
>>tcp dpt:8080 to:192.168.1.11
>>
>>Я бы так не делал, а сделал бы чтобы DNS имя сервера
>>в локальной сети разрешалось в 192.168.1.11.
>
>Спасибо за ответ. Сейчас возможности проверить нет. Странно в туториале: http://www.opennet.me/docs/RUS/iptables/#DNATTARGET написано,
>что достаточно двух правил.все правильно там написано и даже рассказано какое правило для чего нужно, но DMZ было бы лучше.
с SNAT в логах вы будите видеть обращения от имени шлюза, а не ip клиента, да и в случай если поломают сервак , то хоть в локалку не заберутся
>1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080
>-j DNAT \
>--to-destination 192.168.1.11
>
>2) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80
>-j SNAT \
>--to-source $192.168.1.200
>
>Извините за ламерские вопросы просто пытаюсь разобраться :)
>все правильно там написано и даже рассказано какое правило для чего нужно,
>но DMZ было бы лучше.Наверно правильно. Но к сожалению у меня не работает.
>>все правильно там написано и даже рассказано какое правило для чего нужно,
>>но DMZ было бы лучше.
>
>Наверно правильно. Но к сожалению у меня не работает.когда что-то не работает, то правила уменьшают до минимума и добиваются работы, а потом уже начинают добавлять понемногу правил и проверять.
в приведенном виде смотреть правила что-то тосклива, покажите вывод iptables-save
>>>все правильно там написано и даже рассказано какое правило для чего нужно,
>>>но DMZ было бы лучше.
>>
>>Наверно правильно. Но к сожалению у меня не работает.
>
>когда что-то не работает, то правила уменьшают до минимума и добиваются работы,
>а потом уже начинают добавлять понемногу правил и проверять.
>
>в приведенном виде смотреть правила что-то тосклива, покажите вывод iptables-saveСпасибо. Вот результат iptables-save:
:jmpim - [0:0]
:jmpp3scan - [0:0]
:jmpsip - [0:0]
:jmpsquid - [0:0]
:p3scan - [0:0]
:portfw - [0:0]
:sip - [0:0]
:squid - [0:0]
-A PREROUTING -j portfw
-A PREROUTING -i eth0 -j jmpsquid
-A PREROUTING -i eth0 -j jmpim
-A PREROUTING -i eth0 -j jmpp3scan
-A PREROUTING -i eth0 -j jmpsip
-A PREROUTING -i ppp0 -j MINIUPNPD
-A PREROUTING -i ippp0 -j MINIUPNPD
-A PREROUTING -i eth1 -j MINIUPNPD
-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11
-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ippp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.200
-A POSTROUTING -p tcp
-A POSTROUTING -p tcp
-A MINIUPNPD -p tcp -m tcp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A MINIUPNPD -p udp -m udp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A MINIUPNPD -p tcp -m tcp --dport 2534 -j DNAT --to-destination 192.168.1.51:7734
-A jmpim -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpim -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpim -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpim -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpim -j im
-A jmpp3scan -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpp3scan -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpp3scan -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -j p3scan
-A jmpsip -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsip -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsip -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsip -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsip -j sip
-A jmpsquid -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsquid -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsquid -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsquid -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsquid -j squid
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A portfw -d xx.xx.105.6 -p udp -m udp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 192.168.1.112:5901
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.1.112:80
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80
-A squid -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 800
COMMIT
# Completed on Thu Aug 26 10:40:40 2010
# Generated by iptables-save v1.3.7 on Thu Aug 26 10:40:40 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7583567:5415769679]
:MINIUPNPD - [0:0]
:advnet - [0:0]
:allows - [0:0]
:badtraffic - [0:0]
:block - [0:0]
:dmzholes - [0:0]
:ipblock - [0:0]
:ipsec - [0:0]
:outbound - [0:0]
:outgreen - [0:0]
:outorange - [0:0]
:outpurple - [0:0]
:portfwf - [0:0]
:secin - [0:0]
:secout - [0:0]
:siprtpports - [0:0]
:spoof - [0:0]
:timedaccess - [0:0]
:timedaction - [0:0]
:xtaccess - [0:0]
-A INPUT -i ppp0 -j ipblock
-A INPUT -i ippp0 -j ipblock
-A INPUT -i eth1 -j ipblock
-A INPUT -j timedaccess
-A INPUT -i ppp0 -j advnet
-A INPUT -i ippp0 -j advnet
-A INPUT -i eth1 -j advnet
-A INPUT -i ppp0 -j spoof
-A INPUT -i ippp0 -j spoof
-A INPUT -i eth1 -j spoof
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j secin
-A INPUT -j block
-A INPUT -j LOG
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -j ipblock
-A FORWARD -i ippp0 -j ipblock
-A FORWARD -i eth1 -j ipblock
-A FORWARD -j timedaccess
-A FORWARD -j secout
-A FORWARD -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j outbound
-A FORWARD -o ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ippp0 -m state --state NEW -j outbound
-A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -m state --state NEW -j outbound
-A FORWARD -i ppp0 -j portfwf
-A FORWARD -i ippp0 -j portfwf
-A FORWARD -i eth1 -j portfwf
-A FORWARD -m mark --mark 0x1 -j portfwf
-A FORWARD -i eth0 -o ipsec0 -j ACCEPT
-A FORWARD -i ipsec0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -o ! ppp0 -j MINIUPNPD
-A FORWARD -i ippp0 -o ! ippp0 -j MINIUPNPD
-A FORWARD -i eth1 -o ! eth1 -j MINIUPNPD
-A FORWARD -j LOG
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A MINIUPNPD -d 192.168.1.128 -p tcp -m tcp --dport 53137 -j ACCEPT
-A MINIUPNPD -d 192.168.1.128 -p udp -m udp --dport 53137 -j ACCEPT
-A MINIUPNPD -d 192.168.1.51 -p tcp -m tcp --dport 7734 -j ACCEPT
-A allows -s 192.168.1.115 -j ACCEPT
-A allows -s 192.168.1.130 -j ACCEPT
-A allows -s 192.168.1.132 -j ACCEPT
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i eth0 -j ACCEPT
-A block -j xtaccess
-A block -i ppp0 -j ipsec
-A block -i ippp0 -j ipsec
-A block -i eth1 -j ipsec
-A block -i ppp0 -j siprtpports
-A block -i ippp0 -j siprtpports
-A block -i eth1 -j siprtpports
-A block -i ppp0 -p icmp -j ACCEPT
-A block -i ippp0 -p icmp -j ACCEPT
-A block -i eth1 -p icmp -j ACCEPT
-A block -j badtraffic
-A ipsec -p udp -m udp --dport 500 -j ACCEPT
-A ipsec -p udp -m udp --dport 4500 -j ACCEPT
-A ipsec -p esp -j ACCEPT
-A ipsec -p ah -j ACCEPT
-A outbound -p icmp -j ACCEPT
-A outbound -j allows
-A outbound -i eth0 -j outgreen
-A outgreen -p tcp -m tcp --dport 22 -j ACCEPT
-A outgreen -p udp -m udp --dport 22 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 23 -j ACCEPT
-A outgreen -p udp -m udp --dport 23 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5631 -j ACCEPT
-A outgreen -p udp -m udp --dport 5631 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 21 -j ACCEPT
-A outgreen -p udp -m udp --dport 21 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 115 -j ACCEPT
-A outgreen -p udp -m udp --dport 115 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 25 -j ACCEPT
-A outgreen -p udp -m udp --dport 25 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 109 -j ACCEPT
-A outgreen -p udp -m udp --dport 109 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 110 -j ACCEPT
-A outgreen -p udp -m udp --dport 110 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 143 -j ACCEPT
-A outgreen -p udp -m udp --dport 143 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 465 -j ACCEPT
-A outgreen -p udp -m udp --dport 465 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 995 -j ACCEPT
-A outgreen -p udp -m udp --dport 995 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 993 -j ACCEPT
-A outgreen -p udp -m udp --dport 993 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 119 -j ACCEPT
-A outgreen -p udp -m udp --dport 119 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 563 -j ACCEPT
-A outgreen -p udp -m udp --dport 563 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 1863 -j ACCEPT
-A outgreen -p udp -m udp --dport 1863 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 4000 -j ACCEPT
-A outgreen -p udp -m udp --dport 4000 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5190 -j ACCEPT
-A outgreen -p udp -m udp --dport 5190 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 6667:7000 -j ACCEPT
-A outgreen -p udp -m udp --dport 6667:7000 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5050 -j ACCEPT
-A outgreen -p udp -m udp --dport 5050 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 7070 -j ACCEPT
-A outgreen -p udp -m udp --dport 7070 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 47624 -j ACCEPT
-A outgreen -p udp -m udp --dport 47624 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 80 -j ACCEPT
-A outgreen -p udp -m udp --dport 80 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 443 -j ACCEPT
-A outgreen -p udp -m udp --dport 443 -j ACCEPT
-A outorange -j ACCEPT
-A outpurple -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 22 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5631 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5631 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 21 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 21 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 115 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 115 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 119 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 119 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 563 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 563 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 4000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 4000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 6667:7000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 6667:7000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 7070 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 7070 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 47624 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 47624 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -j ACCEPT
-A portfwf -d 192.168.1.128 -p tcp -m state --state NEW -m tcp --dport 53137 -j ACCEPT
-A portfwf -d 192.168.1.128 -p udp -m state --state NEW -m udp --dport 53137 -j ACCEPT
-A portfwf -d 192.168.1.112 -p tcp -m state --state NEW -m tcp --dport 5901 -j ACCEPT
-A portfwf -d 192.168.1.112 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A portfwf -d 192.168.1.11 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A secin -i ipsec0 -j ACCEPT
-A secout -i ipsec0 -j ACCEPT
-A spoof -s 192.168.1.0/255.255.255.0 -j DROP
-A timedaction -j LOG --log-prefix "Denied-by-Timed-Access:-"
-A timedaction -j REJECT --reject-with icmp-port-unreachable
-A xtaccess -i ppp0 -p tcp -m tcp --dport 113 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 113 -j ACCEPT
-A xtaccess -i ppp0 -p tcp -m tcp --dport 441 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 441 -j ACCEPT
-A xtaccess -i ppp0 -p tcp -m tcp --dport 222 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 222 -j ACCEPT
COMMIT
>[оверквотинг удален]
>-A PREROUTING -j portfw
>-A PREROUTING -i eth0 -j jmpsquid
>-A PREROUTING -i eth0 -j jmpim
>-A PREROUTING -i eth0 -j jmpp3scan
>-A PREROUTING -i eth0 -j jmpsip
>-A PREROUTING -i ppp0 -j MINIUPNPD
>-A PREROUTING -i ippp0 -j MINIUPNPD
>-A PREROUTING -i eth1 -j MINIUPNPD
>-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT
>--to-destination 192.168.1.11по моему тут получится перенаправление с xx.xx.105.6:8080 на 192.168.1.11:8080, а не на 80 порт
>-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT
>--to-destination 192.168.1.11это зачем? если обращение из локалки по xx.xx.105.6:8080, то это лишнее
>-A POSTROUTING -o ppp0 -j MASQUERADE
>-A POSTROUTING -o ippp0 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>--to-source 192.168.1.200если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них работать не будет, попробуйте убрать --dport 80, что бы SNAT был для всего что идет на 192.168.1.11
и в целом у вас много не нужных правил для протокола UDP
>[оверквотинг удален]
>
>-A xtaccess -i ppp0 -p tcp -m tcp --dport 441 -j ACCEPT
>
>-A xtaccess -i ippp0 -p tcp -m tcp --dport 441 -j ACCEPT
>
>-A xtaccess -i ppp0 -p tcp -m tcp --dport 222 -j ACCEPT
>
>-A xtaccess -i ippp0 -p tcp -m tcp --dport 222 -j ACCEPT
>
>COMMIT
>>-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT
>>--to-destination 192.168.1.11
>
>по моему тут получится перенаправление с xx.xx.105.6:8080 на 192.168.1.11:8080, а не на
>80 портПоменял на -A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80
Тут перенаправление с
>>-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT
>>--to-destination 192.168.1.11
>
>это зачем? если обращение из локалки по xx.xx.105.6:8080, то это лишнееЭтот вот тут http://www.opennet.me/openforum/vsluhforumID1/89679.html#3 посоветовали удаляю
>>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>>--to-source 192.168.1.200
>
>если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них
>работать не будет, попробуйте убрать --dport 80, что бы SNAT был
>для всего что идет на 192.168.1.11Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200
>[оверквотинг удален]
>
>>>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>>>--to-source 192.168.1.200
>>
>>если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них
>>работать не будет, попробуйте убрать --dport 80, что бы SNAT был
>>для всего что идет на 192.168.1.11
>
>Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
>-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200и не заработало?
iptables -I FORWARD -p tcp -s 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -j ACCEPTесли и после этого не заработает , то запускайте tcpdump на 192.168.1.11, делайте обращение из локалки к xx.xx.105.6:8080 и вывод tcpdump покажите
192.168.1.200 - это какой интерфейс?
>[оверквотинг удален]
>>>для всего что идет на 192.168.1.11
>>
>>Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
>>-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200
>
>и не заработало?
>
>iptables -I FORWARD -p tcp -s 192.168.1.11 -m state --state ESTABLISHED -j
>ACCEPT
>iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -jACCEPT
>
>если и после этого не заработает , то запускайте tcpdump на 192.168.1.11,
>делайте обращение из локалки к xx.xx.105.6:8080 и вывод tcpdump покажите
>
>192.168.1.200 - это какой интерфейс?192.168.1.200 - это локальный ip прокси
После добавления этого правила:
iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -j
ACCEPT
все заработало.
Большое вам спасибо.
Chain PREROUTING (policy ACCEPT 95930 packets, 7108K bytes)
num pkts bytes target prot opt in out source destination
1 175K 11M portfw 0 -- * * 0.0.0.0/0 0.0.0.0/0
2 146K 8844K jmpsquid 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
3 77201 5502K jmpim 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
4 77201 5502K jmpp3scan 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 77201 5502K jmpsip 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
6 18744 1607K MINIUPNPD 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
7 0 0 MINIUPNPD 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
8 0 0 MINIUPNPD 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
9 15 760 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8080 to:192.168.1.11
10 0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.1.200 tcp dpt:8080 to:192.168.1.11Добавил. Ситуация не изменилась.
>[оверквотинг удален]
> xx.xx.105.6
>tcp dpt:8080 to:192.168.1.11
>10 0
>0 DNAT tcp --
> * *
> 0.0.0.0/0
> 192.168.1.200
>tcp dpt:8080 to:192.168.1.11
>
>Добавил. Ситуация не изменилась.Пока не знаю почему у Вас не получается, но навскидку что сразу бросается в глаза:
--to-destination 192.168.1.11:80
укажите порт.
>10 0 0 DNAT tcp -- * * 0.0.0.0/0 192.168.1.200 tcp dpt:8080 to:192.168.1.11^ ^ и счётчики пустые - пакеты не попадают в это правило.
>^ ^ и счётчики
>пустые - пакеты не попадают в это правило.Насколько я понял они попадают в таблицу filter в цепочку portfwf
Chain portfwf (4 references)
num pkts bytes target prot opt in out source destination
5 37 1924 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.11 state NEW tcp dpt:80
>--to-destination 192.168.1.11:80
>
>укажите порт.Порт указал. -A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80
Всем спасибо за помощь. Проблема решена.