URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3459
[ Назад ]

Исходное сообщение
"nat iptables"
Отправлено os11k , 19-Сен-07 14:01

День добрый! Мне надо настроить порт форвардинг.
10.2.21.100--->192.168.2.3:3389--->192.168.20.66:3389
10.2.21.100 видит машину 192.168.20.66, только на мне нужный порт зайти не может из-за фаерволла в сети.
Команда:
iptables –A PREROUTING –t nat –i eth0 –p tcp –dport 3389 –j DNAT –to 192.168.20.66:3389,
выполненная на машине 192.168.2.3 - не помогает.
10.2.21.100--->192.168.2.3:3389 – работает
192.168.2.3--->192.168.20.66:3389 - работает
Интересно, что команда
iptables –A PREROUTING –t nat –i eth0 –p tcp –dport 3389 –j DNAT –to 192.168.2.3:22
выполненная на машине 192.168.2.3 работает как надо:
10.2.21.100--->192.168.2.3:3389--->192.168.2.3:22
Что я делаю не так?

Содержание

nat iptables,reader, 21:41 , 19-Сен-07
- nat iptables,os11k, 11:01 , 20-Сен-07
  - nat iptables,reader, 11:31 , 20-Сен-07
    - nat iptables,os11k, 12:27 , 20-Сен-07
      - nat iptables,reader, 14:35 , 20-Сен-07
        
        nat iptables,os11k, 15:13 , 20-Сен-07
        
        nat iptables,os11k, 15:20 , 20-Сен-07
        
        nat iptables,os11k, 16:12 , 20-Сен-07

Сообщения в этом обсуждении

"nat iptables"
Отправлено reader , 19-Сен-07 21:41

На 192.168.20.66 проверить доходят ли до нее пакеты с обратным адресом 10.2.21.100.
Какие на 192.168.20.66 прописаны маршруты? Если 192.168.20.66 знает как отвечать 10.2.21.100 , то идут ли они через 192.168.2.3 или по другому маршруту?

"nat iptables"
Отправлено os11k , 20-Сен-07 11:01

>На 192.168.20.66 проверить доходят ли до нее пакеты с обратным адресом 10.2.21.100.
Запустил снифер на 192.168.20.66, оказывается до этой машины не доходит ни один пакет. Буду разбиратся. Может ядро не правильно собрано?

"nat iptables"
Отправлено reader , 20-Сен-07 11:31

сначала проверьте правила на 192.168.2.3
iptables-save

"nat iptables"
Отправлено os11k , 20-Сен-07 12:27

>сначала проверьте правила на 192.168.2.3
>iptables-save
У меня все правила Accept. Или в таблице Forward всё таки должна быть запись?

"nat iptables"
Отправлено reader , 20-Сен-07 14:35

а вообще через 192.168.2.3 хоть какойто трафик транзитом проходит?
в /proc/sys/net/ipv4/ip_forward 0 или 1?

"nat iptables"
Отправлено os11k , 20-Сен-07 15:13

>а вообще через 192.168.2.3 хоть какойто трафик транзитом проходит?
>в /proc/sys/net/ipv4/ip_forward 0 или 1?
1
А что это?

"nat iptables"
Отправлено os11k , 20-Сен-07 15:20

>>а вообще через 192.168.2.3 хоть какойто трафик транзитом проходит?
>>в /proc/sys/net/ipv4/ip_forward 0 или 1?
>
>1
>А что это?
Извени, запарился. Там было 0 тзменил на 1. Снифером проверил. Пакеты дошли. Теперь надо изменить SNAT что бы он знал бы куда пакеты возращать. Когда доделую конфиг выложу. Большое спасибо!

"nat iptables"
Отправлено os11k , 20-Сен-07 16:12

Изменил в /etc/sysctl.conf "net.ipv4.ip_forward = 0" на "net.ipv4.ip_forward = 1".
Потом запустил "echo 1 > /proc/sys/net/ipv4/ip_forward", что бы не надо было перезагружатся.
Обнулил таблицы nat, что бы было бы без путаниц.
Запустил:
"iptables –A PREROUTING –t nat -d 192.168.2.3 –p tcp –-dport 3389 –j DNAT –to 192.168.20.66:3389"
"iptables –A POSTROUTING –t nat -d 192.168.20.66 –p tcp –-dport 3389 –j SNAT –to 192.168.2.3"
И всё заработало!