URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5150
[ Назад ]

Исходное сообщение
"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 13:41

Категорически всех приветствую!
Достаточно простая задача. Необходимо, что бы с локальных IP можно было попасть на веб-сайт по доменному имени, находящийся в той же локальной сети. Уточнение, в доменном адресе указан порт 8080, а сам же сайт работает на 80-м порту.
допустим доменный адрес сайта: $INET_IP.
локальный адрес сайта: $HTTP_IP.
адрес шлюза: $LAN_IP.
Погуглив и почитав статью http://www.opennet.me/docs/RUS/iptables/#NATTABLE, добавил цепочки:
iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 8080 -j DNAT \
--to-destination $HTTP_IP:80
iptables -t nat -A POSTROUTING -p tcp -d $HTTP_IP --dport 80 -j SNAT \
--to-source $LAN_IP:8080
Проброс по цепочке PREROUTING на HTTP_IP идет нормально. А обратно пакеты не попадают в новое правило POSTROUTING.
В чем ошибка?

Содержание

веб сайт с локальных машин.,Mr. Mistoffelees, 13:56 , 29-Апр-13
- веб сайт с локальных машин.,ILeonor, 14:05 , 29-Апр-13
  - веб сайт с локальных машин.,reader, 14:45 , 29-Апр-13
    - веб сайт с локальных машин.,ILeonor, 14:58 , 29-Апр-13
      - веб сайт с локальных машин.,reader, 15:11 , 29-Апр-13
        
        веб сайт с локальных машин.,ILeonor, 15:22 , 29-Апр-13
        
        веб сайт с локальных машин.,reader, 15:45 , 29-Апр-13
        
        веб сайт с локальных машин.,ILeonor, 17:15 , 29-Апр-13
        веб сайт с локальных машин.,ILeonor, 17:15 , 29-Апр-13
        
        веб сайт с локальных машин.,reader, 17:54 , 29-Апр-13
        
        веб сайт с локальных машин.,ILeonor, 19:34 , 29-Апр-13
        
        веб сайт с локальных машин.,reader, 19:44 , 29-Апр-13
        
        веб сайт с локальных машин.,ILeonor, 15:18 , 06-Май-13
        
        веб сайт с локальных машин.,reader, 17:50 , 06-Май-13
        
        веб сайт с локальных машин.,ILeonor, 14:59 , 07-Май-13
        
        веб сайт с локальных машин.,reader, 10:45 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 13:14 , 08-Май-13
        
        веб сайт с локальных машин.,reader, 13:52 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 14:15 , 08-Май-13
        
        веб сайт с локальных машин.,reader, 14:42 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 14:47 , 08-Май-13
        
        веб сайт с локальных машин.,reader, 14:49 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 14:52 , 08-Май-13
        
        веб сайт с локальных машин.,reader, 14:58 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 15:10 , 08-Май-13
        веб сайт с локальных машин.,ILeonor, 15:21 , 08-Май-13
        
        веб сайт с локальных машин.,ILeonor, 14:40 , 08-Май-13

Сообщения в этом обсуждении

"веб сайт с локальных машин."
Отправлено Mr. Mistoffelees , 29-Апр-13 13:56

Привет,
> В чем ошибка?
Это правило лишнее, уберите его.
> iptables -t nat -A POSTROUTING -p tcp -d $HTTP_IP --dport 80 -j
> SNAT \
> --to-source $LAN_IP:8080
DNAT позаботится о том, чтобы правильно вернуть пакеты от веб сайта клиенту, заменив m,r при этом IP адрес веб сервера на IP адрес шлюза.
WWell,

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 14:05

> Привет,
>> В чем ошибка?
> Это правило лишнее, уберите его.
>> iptables -t nat -A POSTROUTING -p tcp -d $HTTP_IP --dport 80 -j
>> SNAT \
>> --to-source $LAN_IP:8080
> DNAT позаботится о том, чтобы правильно вернуть пакеты от веб сайта клиенту,
> заменив m,r при этом IP адрес веб сервера на IP адрес
> шлюза.
> WWell,
Может быть не совсем правильно выразился.
Доменный адрес сайта 91.227.95.24
Локальный адрес сайта 192.168.1.4
и например адрес машины, с которой хочется попасть на сайт 192.168.1.171
и читая руководство(ссылка выше) соединиться не получится. Но на всякий случай убрал правило, соединение не устанавливается.

"веб сайт с локальных машин."
Отправлено reader , 29-Апр-13 14:45

>[оверквотинг удален]
>> DNAT позаботится о том, чтобы правильно вернуть пакеты от веб сайта клиенту,
>> заменив m,r при этом IP адрес веб сервера на IP адрес
>> шлюза.
>> WWell,
> Может быть не совсем правильно выразился.
> Доменный адрес сайта 91.227.95.24
> Локальный адрес сайта 192.168.1.4
> и например адрес машины, с которой хочется попасть на сайт 192.168.1.171
> и читая руководство(ссылка выше) соединиться не получится. Но на всякий случай убрал
> правило, соединение не устанавливается.
правило не лишнее, --to-source $LAN_IP:8080 измените на --to-source $LAN_IP, но так как это правило изменит адрес отправителя и в логах веб сервера попадет это ip, то стоило бы ограничить еще -s 192.168.1.0/24

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 14:58

> правило не лишнее, --to-source $LAN_IP:8080 измените на --to-source $LAN_IP, но так как
> это правило изменит адрес отправителя и в логах веб сервера попадет
> это ip, то стоило бы ограничить еще -s 192.168.1.0/24
Изменил, так же пакеты в это правило не попадают.
Добавлял и в начало цепочки и в конец цепочки.

"веб сайт с локальных машин."
Отправлено reader , 29-Апр-13 15:11

>> правило не лишнее, --to-source $LAN_IP:8080 измените на --to-source $LAN_IP, но так как
>> это правило изменит адрес отправителя и в логах веб сервера попадет
>> это ip, то стоило бы ограничить еще -s 192.168.1.0/24
> Изменил, так же пакеты в это правило не попадают.
> Добавлял и в начало цепочки и в конец цепочки.
iptables-save c шлюза и
tcpdump -n host 192.168.1.171 or host внутренний_ip_шлюза
с веб-сервера

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 15:22

>>> правило не лишнее, --to-source $LAN_IP:8080 измените на --to-source $LAN_IP, но так как
>>> это правило изменит адрес отправителя и в логах веб сервера попадет
>>> это ip, то стоило бы ограничить еще -s 192.168.1.0/24
>> Изменил, так же пакеты в это правило не попадают.
>> Добавлял и в начало цепочки и в конец цепочки.
> iptables-save c шлюза и
> tcpdump -n host 192.168.1.171 or host внутренний_ip_шлюза
> с веб-сервера
*nat
:PREROUTING ACCEPT [148192:11717028]
:POSTROUTING ACCEPT [1809:219277]
:OUTPUT ACCEPT [48343:3140003]
:MINIUPNPD - [0:0]
:im - [0:0]
:jmpim - [0:0]
:jmpp3scan - [0:0]
:jmpsip - [0:0]
:jmpsquid - [0:0]
:p3scan - [0:0]
:portfw - [0:0]
:sip - [0:0]
:squid - [0:0]
-A PREROUTING -j portfw
-A PREROUTING -i eth0 -j jmpsquid
-A PREROUTING -i eth1 -j jmpsquid
-A PREROUTING -i eth0 -j jmpim
-A PREROUTING -i eth1 -j jmpim
-A PREROUTING -i eth0 -j jmpp3scan
-A PREROUTING -i eth1 -j jmpp3scan
-A PREROUTING -i eth0 -j jmpsip
-A PREROUTING -i eth1 -j jmpsip
-A PREROUTING -i ppp0 -j MINIUPNPD
-A PREROUTING -i ippp0 -j MINIUPNPD
-A PREROUTING -i eth2 -j MINIUPNPD
-A PREROUTING -d 91.227.95.24/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.2:80
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ippp0 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o eth0 -m mark --mark 0x1 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o eth1 -m mark --mark 0x3 -j SNAT --to-source 192.168.2.1
-A MINIUPNPD -p udp -m udp --dport 61003 -j DNAT --to-destination 192.168.1.150:61003
-A im -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5050 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 6667 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 8074 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5222 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5223 -j REDIRECT --to-ports 16667
-A jmpim -d 10.0.0.0/8 -j RETURN
-A jmpim -d 172.16.0.0/12 -j RETURN
-A jmpim -d 192.168.0.0/16 -j RETURN
-A jmpim -d 169.254.0.0/16 -j RETURN
-A jmpim -j im
-A jmpp3scan -d 10.0.0.0/8 -j RETURN
-A jmpp3scan -d 172.16.0.0/12 -j RETURN
-A jmpp3scan -d 192.168.0.0/16 -j RETURN
-A jmpp3scan -d 169.254.0.0/16 -j RETURN
-A jmpp3scan -j p3scan
-A jmpsip -d 10.0.0.0/8 -j RETURN
-A jmpsip -d 172.16.0.0/12 -j RETURN
-A jmpsip -d 192.168.0.0/16 -j RETURN
-A jmpsip -d 169.254.0.0/16 -j RETURN
-A jmpsip -j sip
-A jmpsquid -d 10.0.0.0/8 -j RETURN
-A jmpsquid -d 172.16.0.0/12 -j RETURN
-A jmpsquid -d 192.168.0.0/16 -j RETURN
-A jmpsquid -d 169.254.0.0/16 -j RETURN
-A jmpsquid -j squid
-A portfw -d 192.168.44.155/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21
-A portfw -d 192.168.44.155/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
-A portfw -d 192.168.44.155/32 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
-A portfw -d 192.168.44.155/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.2:80
-A sip -p udp -m udp --dport 5060 -j REDIRECT
-A squid -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 800
-A squid -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 800
веб сервер работает на Винде, tcpdump выложить не могу.

"веб сайт с локальных машин."
Отправлено reader , 29-Апр-13 15:45

>[оверквотинг удален]
> -A PREROUTING -i eth1 -j jmpsip
> -A PREROUTING -i ppp0 -j MINIUPNPD
> -A PREROUTING -i ippp0 -j MINIUPNPD
> -A PREROUTING -i eth2 -j MINIUPNPD
> -A PREROUTING -d 91.227.95.24/32 -p tcp -m tcp --dport 8080 -j DNAT
> --to-destination 192.168.1.2:80
> -A POSTROUTING -o ppp0 -j MASQUERADE
> -A POSTROUTING -o ippp0 -j MASQUERADE
> -A POSTROUTING -o eth2 -j MASQUERADE
> -A POSTROUTING -o eth0 -m mark --mark 0x1 -j SNAT --to-source 192.168.1.1
проверяется маркировка , а где устанавливается?
tcpdump -n -i eth0 host 192.168.1.1 or host 192.168.1.171 and 192.168.1.2
с шлюза, если 192.168.1.0 за eth0

>[оверквотинг удален]
> -A portfw -d 192.168.44.155/32 -p udp -m udp --dport 3389 -j DNAT
> --to-destination 192.168.1.2:3389
> -A portfw -d 192.168.44.155/32 -p tcp -m tcp --dport 8080 -j DNAT
> --to-destination 192.168.1.2:80
> -A sip -p udp -m udp --dport 5060 -j REDIRECT
> -A squid -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 800
> -A squid -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 800
> веб сервер работает на Винде, tcpdump выложить не могу.

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 17:15

>[оверквотинг удален]
>> -A PREROUTING -i ppp0 -j MINIUPNPD
>> -A PREROUTING -i ippp0 -j MINIUPNPD
>> -A PREROUTING -i eth2 -j MINIUPNPD
>> -A PREROUTING -d 91.227.95.24/32 -p tcp -m tcp --dport 8080 -j DNAT
>> --to-destination 192.168.1.2:80
>> -A POSTROUTING -o ppp0 -j MASQUERADE
>> -A POSTROUTING -o ippp0 -j MASQUERADE
>> -A POSTROUTING -o eth2 -j MASQUERADE
>> -A POSTROUTING -o eth0 -m mark --mark 0x1 -j SNAT --to-source 192.168.1.1
> проверяется маркировка , а где устанавливается?
*mangle
:PREROUTING ACCEPT [4976480:3334564326]
:INPUT ACCEPT [3918643:2767430601]
:FORWARD ACCEPT [1055501:566410413]
:OUTPUT ACCEPT [2759843:2851250330]
:POSTROUTING ACCEPT [3814196:3417582112]
:account - [0:0]
:eth2-dn-traf-tot - [0:0]
:eth2-up-traf-tot - [0:0]
:portfwb - [0:0]
:postrouting-1 - [0:0]
:postrouting-2 - [0:0]
:prerouting-1 - [0:0]
:prerouting-2 - [0:0]
:trafficforward - [0:0]
:trafficoutput - [0:0]
:trafficpostrouting - [0:0]
-A PREROUTING -j portfwb
-A PREROUTING -j prerouting-1
-A PREROUTING -j prerouting-2
-A INPUT -j account
-A FORWARD -j account
-A FORWARD -j trafficforward
-A OUTPUT -j account
-A OUTPUT -j trafficoutput
-A POSTROUTING -j postrouting-1
-A POSTROUTING -j postrouting-2
-A POSTROUTING -j trafficpostrouting
-A account -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN
-A account -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE
-A account -j ACCOUNT --addr 192.168.1.0/24 --tname RED
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0x67 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0x67 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0x68 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0x68 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0x69 -j CLASSIFY --set-class 0001:0115
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0x69 -j CLASSIFY --set-class 0001:0115
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xc8 -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xc8 -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xc9 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xc9 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xca -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xca -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xcb -j CLASSIFY --set-class 0001:0109
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xcb -j CLASSIFY --set-class 0001:0109
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xcc -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xcc -j CLASSIFY --set-class 0001:0111
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xcd -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xcd -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xce -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xce -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xd0 -j CLASSIFY --set-class 0001:0112
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xd0 -j CLASSIFY --set-class 0001:0112
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xd1 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xd1 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xd2 -j CLASSIFY --set-class 0001:0109
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xd2 -j CLASSIFY --set-class 0001:0109
-A eth2-dn-traf-tot -o eth0 -m connmark --mark 0xd3 -j CLASSIFY --set-class 0001:0110
-A eth2-dn-traf-tot -o eth1 -m connmark --mark 0xd3 -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0x67 -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0x68 -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0x69 -j CLASSIFY --set-class 0001:0115
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xc8 -j CLASSIFY --set-class 0001:0111
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xc9 -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xca -j CLASSIFY --set-class 0001:0111
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xcb -j CLASSIFY --set-class 0001:0109
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xcc -j CLASSIFY --set-class 0001:0111
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xcd -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xce -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xd0 -j CLASSIFY --set-class 0001:0112
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xd1 -j CLASSIFY --set-class 0001:0110
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xd2 -j CLASSIFY --set-class 0001:0109
-A eth2-up-traf-tot -o eth2 -m connmark --mark 0xd3 -j CLASSIFY --set-class 0001:0110
-A portfwb -d 192.168.44.155/32 -i eth0 -j MARK --set-xmark 0x1/0xffffffff
-A portfwb -d 192.168.44.155/32 -i eth1 -j MARK --set-xmark 0x3/0xffffffff
-A postrouting-1 -o eth0 -j RETURN
-A postrouting-1 -o eth1 -j RETURN
-A postrouting-2 -o ppp0 -j RETURN
-A postrouting-2 -o ippp0 -j RETURN
-A postrouting-2 -o eth2 -j RETURN
-A prerouting-1 -i eth0 -j RETURN
-A prerouting-1 -i eth1 -j RETURN
-A prerouting-2 -i ppp0 -j RETURN
-A prerouting-2 -i ippp0 -j RETURN
-A prerouting-2 -i eth2 -j RETURN
-A trafficforward -i eth2 -j RETURN
-A trafficforward -o eth2 -j RETURN
-A trafficforward -j CONNMARK --set-xmark 0x69/0xffffffff
-A trafficoutput -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 81,441,222 -j CONNMARK --set-xmark 0x67/0xffffffff
-A trafficoutput -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 80,8080,443,8443 -j CONNMARK --set-xmark 0x68/0xffffffff
-A trafficoutput -o eth2 -j RETURN
-A trafficoutput -j CONNMARK --set-xmark 0x69/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 5190:5193,1863,6901,6891:6900 -j CONNMARK --set-xmark 0xc8/0xffffffff
-A trafficpostrouting -m connmark --mark 0xc8 -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Instant_Messaging
-A trafficpostrouting -m connmark --mark 0xc8 -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Instant_Messaging
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m udp --sport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m udp --dport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m udp --sport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m udp --dport 53 -j CONNMARK --set-xmark 0xc9/0xffffffff
-A trafficpostrouting -m connmark --mark 0xc9 -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Domain_Name_Service
-A trafficpostrouting -m connmark --mark 0xc9 -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Domain_Name_Service
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 21 -j CONNMARK --set-xmark 0xca/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 21 -j CONNMARK --set-xmark 0xca/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 21 -j CONNMARK --set-xmark 0xca/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 21 -j CONNMARK --set-xmark 0xca/0xffffffff
-A trafficpostrouting -m connmark --mark 0xca -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_File_Transfer_Protocol
-A trafficpostrouting -m connmark --mark 0xca -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_File_Transfer_Protocol
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 80,800,8080,8008,443,3128 -j CONNMARK --set-xmark 0xcb/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 80,800,8080,8008,443,3128 -j CONNMARK --set-xmark 0xcb/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 80,800,8080,8008,443,3128 -j CONNMARK --set-xmark 0xcb/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 80,800,8080,8008,443,3128 -j CONNMARK --set-xmark 0xcb/0xffffffff
-A trafficpostrouting -m connmark --mark 0xcb -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Web
-A trafficpostrouting -m connmark --mark 0xcb -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Web
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 25,110,143,993 -j CONNMARK --set-xmark 0xcc/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 25,110,143,993 -j CONNMARK --set-xmark 0xcc/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 25,110,143,993 -j CONNMARK --set-xmark 0xcc/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 25,110,143,993 -j CONNMARK --set-xmark 0xcc/0xffffffff
-A trafficpostrouting -m connmark --mark 0xcc -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Electronic_Mail
-A trafficpostrouting -m connmark --mark 0xcc -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Electronic_Mail
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 22 -j CONNMARK --set-xmark 0xcd/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 22 -j CONNMARK --set-xmark 0xcd/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m tcp --sport 22 -j CONNMARK --set-xmark 0xcd/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m tcp --dport 22 -j CONNMARK --set-xmark 0xcd/0xffffffff
-A trafficpostrouting -m connmark --mark 0xcd -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Secure_Shell
-A trafficpostrouting -m connmark --mark 0xcd -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Secure_Shell
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 1720,1503,5060:5070,3782 -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -m connmark --mark 0xce -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Voice_Over_IP
-A trafficpostrouting -m connmark --mark 0xce -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Voice_Over_IP
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 27910,7777,4000,6112:6119,27051,88,3074 -j CONNMARK --set-xmark 0xd0/0xffffffff
-A trafficpostrouting -m connmark --mark 0xd0 -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Gaming
-A trafficpostrouting -m connmark --mark 0xd0 -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Gaming
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 554,2001,7070:7071,1755,8000:8001 -j CONNMARK --set-xmark 0xd1/0xffffffff
-A trafficpostrouting -m connmark --mark 0xd1 -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_Multimedia
-A trafficpostrouting -m connmark --mark 0xd1 -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_Multimedia
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -i eth2 -p tcp -m connmark --mark 0x0 -m multiport --sports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -o eth2 -p tcp -m connmark --mark 0x0 -m multiport --dports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -i eth2 -p udp -m connmark --mark 0x0 -m multiport --sports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -o eth2 -p udp -m connmark --mark 0x0 -m multiport --dports 5800:5810,5900:5910 -j CONNMARK --set-xmark 0xd3/0xffffffff
-A trafficpostrouting -m connmark --mark 0xd3 -j ACCOUNT --addr 192.168.1.0/24 --tname GREEN_VNC
-A trafficpostrouting -m connmark --mark 0xd3 -j ACCOUNT --addr 192.168.2.0/24 --tname PURPLE_VNC
-A trafficpostrouting -m dscp --dscp 0x2e -j CONNMARK --set-xmark 0xce/0xffffffff
-A trafficpostrouting -p esp -j CONNMARK --set-xmark 0xd2/0xffffffff
-A trafficpostrouting -p ah -j CONNMARK --set-xmark 0xd2/0xffffffff
-A trafficpostrouting -m connmark --mark 0x0 -m length --length 1:110 -j CLASSIFY --set-class 0001:0116
-A trafficpostrouting -o eth2 -j eth2-up-traf-tot
-A trafficpostrouting -o eth0 -j eth2-dn-traf-tot
-A trafficpostrouting -o eth1 -j eth2-dn-traf-tot

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 17:15

> tcpdump -n -i eth0 host 192.168.1.1 or host 192.168.1.171 and 192.168.1.2
> с шлюза, если 192.168.1.0 за eth0
tcpdump -n -i eth0 host 192.168.1.1 or host 192.168.1.171 and 192.168.1.2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:13:11.952786 IP 192.168.1.2.57300 > 192.168.1.1.53: 51635+ A? imgcdn.ptvcdn.net. (35)
17:13:11.954083 IP 192.168.1.1.53 > 192.168.1.2.57300: 51635 1/0/0 A 111.111.111.111 (51)
17:13:16.950355 ARP, Request who-has 192.168.1.2 tell 192.168.1.1, length 28
17:13:16.950470 ARP, Reply 192.168.1.2 is-at 6c:f0:49:69:ed:00, length 46
17:13:40.481292 IP 192.168.1.2.57378 > 192.168.1.1.53: 6985+ A? imgcdn.ptvcdn.net. (35)
17:13:40.485923 IP 192.168.1.1.53 > 192.168.1.2.57378: 6985 1/0/0 A 111.111.111.111 (51)
17:13:45.162174 ARP, Request who-has 192.168.1.1 (00:e0:50:f2:02:b1) tell 192.168.1.2, length 46
17:13:45.162199 ARP, Reply 192.168.1.1 is-at 00:e0:50:f2:02:b1, length 28

"веб сайт с локальных машин."
Отправлено reader , 29-Апр-13 17:54

>[оверквотинг удален]
> (35)
> 17:13:11.954083 IP 192.168.1.1.53 > 192.168.1.2.57300: 51635 1/0/0 A 111.111.111.111
> (51)
> 17:13:16.950355 ARP, Request who-has 192.168.1.2 tell 192.168.1.1, length 28
> 17:13:16.950470 ARP, Reply 192.168.1.2 is-at 6c:f0:49:69:ed:00, length 46
> 17:13:40.481292 IP 192.168.1.2.57378 > 192.168.1.1.53: 6985+ A? imgcdn.ptvcdn.net. (35)
> 17:13:40.485923 IP 192.168.1.1.53 > 192.168.1.2.57378: 6985 1/0/0 A 111.111.111.111 (51)
> 17:13:45.162174 ARP, Request who-has 192.168.1.1 (00:e0:50:f2:02:b1) tell 192.168.1.2,
> length 46
> 17:13:45.162199 ARP, Reply 192.168.1.1 is-at 00:e0:50:f2:02:b1, length 28
тут нет обращений к веб серверу с 192.168.1.171

"веб сайт с локальных машин."
Отправлено ILeonor , 29-Апр-13 19:34

>[оверквотинг удален]
>> 17:13:11.954083 IP 192.168.1.1.53 > 192.168.1.2.57300: 51635 1/0/0 A 111.111.111.111
>> (51)
>> 17:13:16.950355 ARP, Request who-has 192.168.1.2 tell 192.168.1.1, length 28
>> 17:13:16.950470 ARP, Reply 192.168.1.2 is-at 6c:f0:49:69:ed:00, length 46
>> 17:13:40.481292 IP 192.168.1.2.57378 > 192.168.1.1.53: 6985+ A? imgcdn.ptvcdn.net. (35)
>> 17:13:40.485923 IP 192.168.1.1.53 > 192.168.1.2.57378: 6985 1/0/0 A 111.111.111.111 (51)
>> 17:13:45.162174 ARP, Request who-has 192.168.1.1 (00:e0:50:f2:02:b1) tell 192.168.1.2,
>> length 46
>> 17:13:45.162199 ARP, Reply 192.168.1.1 is-at 00:e0:50:f2:02:b1, length 28
> тут нет обращений к веб серверу с 192.168.1.171
В общем там мало чего вразумительного.
При переходе по доменному имени на сайт, а iptables фиксирует проброс пакетов:
pkts bytes target     prot opt in     out     source               destination
558  28272 DNAT       tcp  --  *      *       0.0.0.0/0            91.227.95.24        tcp dpt:8080 to:192.168.1.2:80
Но сайт естественно не открывается.
Если же указать самому адрес веб-сервера: 192.168.1.2:80 в адресной строке. Переходит без запинки и все работает.
P.S. указываю конфиг интерфейсов:
eth0      Link encap:Ethernet  HWaddr 00:E0:50:F2:02:B1
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
eth1      Link encap:Ethernet  HWaddr 4C:00:10:3C:89:87
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
eth2      Link encap:Ethernet  HWaddr 00:0F:EA:29:25:25
          inet addr:192.168.44.155  Bcast:192.168.44.255  Mask:255.255.255.0
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1

"веб сайт с локальных машин."
Отправлено reader , 29-Апр-13 19:44

>[оверквотинг удален]
>>> (51)
>>> 17:13:16.950355 ARP, Request who-has 192.168.1.2 tell 192.168.1.1, length 28
>>> 17:13:16.950470 ARP, Reply 192.168.1.2 is-at 6c:f0:49:69:ed:00, length 46
>>> 17:13:40.481292 IP 192.168.1.2.57378 > 192.168.1.1.53: 6985+ A? imgcdn.ptvcdn.net. (35)
>>> 17:13:40.485923 IP 192.168.1.1.53 > 192.168.1.2.57378: 6985 1/0/0 A 111.111.111.111 (51)
>>> 17:13:45.162174 ARP, Request who-has 192.168.1.1 (00:e0:50:f2:02:b1) tell 192.168.1.2,
>>> length 46
>>> 17:13:45.162199 ARP, Reply 192.168.1.1 is-at 00:e0:50:f2:02:b1, length 28
>> тут нет обращений к веб серверу с 192.168.1.171
> В общем там мало чего вразумительного.
интересует какой ip отправителя в пакетах адресованных на 192.168.1.2:80.
в целом вашу задачу лучше было бы решать с помощью DNS.
>[оверквотинг удален]
>           UP BROADCAST
> RUNNING MULTICAST  MTU:1500  Metric:1
> eth1      Link encap:Ethernet  HWaddr 4C:00:10:3C:89:87
>           inet addr:192.168.2.1
>  Bcast:192.168.2.255  Mask:255.255.255.0
> eth2      Link encap:Ethernet  HWaddr 00:0F:EA:29:25:25
>           inet addr:192.168.44.155
>  Bcast:192.168.44.255  Mask:255.255.255.0
>           UP BROADCAST
> NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1

"веб сайт с локальных машин."
Отправлено ILeonor , 06-Май-13 15:18

>[оверквотинг удален]
>>           UP BROADCAST
>> RUNNING MULTICAST  MTU:1500  Metric:1
>> eth1      Link encap:Ethernet  HWaddr 4C:00:10:3C:89:87
>>           inet addr:192.168.2.1
>>  Bcast:192.168.2.255  Mask:255.255.255.0
>> eth2      Link encap:Ethernet  HWaddr 00:0F:EA:29:25:25
>>           inet addr:192.168.44.155
>>  Bcast:192.168.44.255  Mask:255.255.255.0
>>           UP BROADCAST
>> NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
С помощью DNS решить задачу вряд ли получится у веб-сайта нет доменного имени, переход исключительно по айпи.
И напоследок такой глупый вопрос: могут ли компы в локалке обмениваться пакетами минуя шлюз? Учитывая что существует провод соединяющий их напрямую.

"веб сайт с локальных машин."
Отправлено reader , 06-Май-13 17:50

>[оверквотинг удален]
>>>  Bcast:192.168.2.255  Mask:255.255.255.0
>>> eth2      Link encap:Ethernet  HWaddr 00:0F:EA:29:25:25
>>>           inet addr:192.168.44.155
>>>  Bcast:192.168.44.255  Mask:255.255.255.0
>>>           UP BROADCAST
>>> NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
> С помощью DNS решить задачу вряд ли получится у веб-сайта нет доменного
> имени, переход исключительно по айпи.
> И напоследок такой глупый вопрос: могут ли компы в локалке обмениваться пакетами
> минуя шлюз? Учитывая что существует провод соединяющий их напрямую.
если не намудрить с адресами, масками и маршрутами то так общение и происходит

"веб сайт с локальных машин."
Отправлено ILeonor , 07-Май-13 14:59

Нашел tcpdump для винды, вот вывод проги при обращение к веб-серверу по внешнему IP:
1. Комп с которого идет запрос (работает на винде):
000000 IP 192.168.1.171.52209 > 91.227.95.24.8080: S 4162502288:4162502288(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
250726 IP 192.168.1.171.52210 > 91.227.95.24.8080: S 2560808312:2560808312(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2. 749843 IP 192.168.1.171.52209 > 91.227.95.24.8080: S 4162502288:4162502288(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
251958 IP 192.168.1.171.52210 > 91.227.95.24.8080: S 2560808312:2560808312(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
5. 744146 IP 192.168.1.171.52209 > 91.227.95.24.8080: S 4162502288:4162502288(0) win 8192 <mss 1460,nop,nop,sackOK>
249993 IP 192.168.1.171.52210 > 91.227.95.24.8080: S 2560808312:2560808312(0) win 8192 <mss 1460,nop,nop,sackOK>
11. 757747 IP 192.168.1.171.52211 > 91.227.95.24.8080: S 3096735177:3096735177(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
251014 IP 192.168.1.171.52212 > 91.227.95.24.8080: S 2540840159:2540840159(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
000795 IP 192.168.1.171.52213 > 91.227.95.24.8080: S 3781299161:3781299161(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2. 739697 IP 192.168.1.171.52211 > 91.227.95.24.8080: S 3096735177:3096735177(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
262017 IP 192.168.1.171.52213 > 91.227.95.24.8080: S 3781299161:3781299161(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
000043 IP 192.168.1.171.52212 > 91.227.95.24.8080: S 2540840159:2540840159(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
5. 742030 IP 192.168.1.171.52211 > 91.227.95.24.8080: S 3096735177:3096735177(0) win 8192 <mss 1460,nop,nop,sackOK>
262030 IP 192.168.1.171.52213 > 91.227.95.24.8080: S 3781299161:3781299161(0) win 8192 <mss 1460,nop,nop,sackOK>
000042 IP 192.168.1.171.52212 > 91.227.95.24.8080: S 2540840159:2540840159(0) win 8192 <mss 1460,nop,nop,sackOK>
12. 003833 IP 192.168.1.171.52214 > 91.227.95.24.8080: S 3929762644:3929762644(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
3. 008365 IP 192.168.1.171.52214 > 91.227.95.24.8080: S 3929762644:3929762644(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
5. 992110 IP 192.168.1.171.52214 > 91.227.95.24.8080: S 3929762644:3929762644(0) win 8192 <mss 1460,nop,nop,sackOK>
2. Вывод tcpdump с шлюза:
00:00:00.000000 IP 192.168.1.171.52209 > 91.227.95.24.8080: Flags [S], seq 4162502288, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.250509 IP 192.168.1.171.52210 > 91.227.95.24.8080: Flags [S], seq 2560808312, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:02.749777 IP 192.168.1.171.52209 > 91.227.95.24.8080: Flags [S], seq 4162502288, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.251945 IP 192.168.1.171.52210 > 91.227.95.24.8080: Flags [S], seq 2560808312, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:05.743990 IP 192.168.1.171.52209 > 91.227.95.24.8080: Flags [S], seq 4162502288, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.249989 IP 192.168.1.171.52210 > 91.227.95.24.8080: Flags [S], seq 2560808312, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:11.757429 IP 192.168.1.171.52211 > 91.227.95.24.8080: Flags [S], seq 3096735177, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.251008 IP 192.168.1.171.52212 > 91.227.95.24.8080: Flags [S], seq 2540840159, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.000787 IP 192.168.1.171.52213 > 91.227.95.24.8080: Flags [S], seq 3781299161, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:02.739629 IP 192.168.1.171.52211 > 91.227.95.24.8080: Flags [S], seq 3096735177, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.262016 IP 192.168.1.171.52213 > 91.227.95.24.8080: Flags [S], seq 3781299161, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:00.000160 IP 192.168.1.171.52212 > 91.227.95.24.8080: Flags [S], seq 2540840159, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:05.741753 IP 192.168.1.171.52211 > 91.227.95.24.8080: Flags [S], seq 3096735177, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.262025 IP 192.168.1.171.52213 > 91.227.95.24.8080: Flags [S], seq 3781299161, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.000139 IP 192.168.1.171.52212 > 91.227.95.24.8080: Flags [S], seq 2540840159, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:12.003414 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:03.008284 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:05.991950 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644, win 8192, options [mss 1460,nop,nop,sackOK], length 0
3. На веб-сервере тишина.
Если переходить на веб-сервер с инета или же с локальной сети, но указав при этом локальный адрес веб-сервера, то веб-сервере идет соответствующий вывод tcpdump, о том что к нему приходят пакеты.

"веб сайт с локальных машин."
Отправлено reader , 08-Май-13 10:45

>[оверквотинг удален]
> 00:00:00.262025 IP 192.168.1.171.52213 > 91.227.95.24.8080: Flags [S], seq 3781299161,
> win 8192, options [mss 1460,nop,nop,sackOK], length 0
> 00:00:00.000139 IP 192.168.1.171.52212 > 91.227.95.24.8080: Flags [S], seq 2540840159,
> win 8192, options [mss 1460,nop,nop,sackOK], length 0
> 00:00:12.003414 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644,
> win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
> 00:00:03.008284 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644,
> win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
> 00:00:05.991950 IP 192.168.1.171.52214 > 91.227.95.24.8080: Flags [S], seq 3929762644,
> win 8192, options [mss 1460,nop,nop,sackOK], length 0
то есть проброс не отработал, если в /proc/sys/net/ipv4/ip_forward 1, то попробуйте правило:
-A PREROUTING -d 91.227.95.24/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.2:80
поставить первым в цепочке PREROUTING, проверьте что в таблице фильтров в FORWARD разрешены эти пакеты (192.168.1.171 > 192.168.1.2:80) и посмотрите tcpdump с шлюза еще раз
> 3. На веб-сервере тишина.
> Если переходить на веб-сервер с инета или же с локальной сети, но
> указав при этом локальный адрес веб-сервера, то веб-сервере идет соответствующий вывод
> tcpdump, о том что к нему приходят пакеты.

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 13:14

>[оверквотинг удален]
> правило:
> -A PREROUTING -d 91.227.95.24/32 -p tcp -m tcp --dport 8080 -j DNAT
> --to-destination 192.168.1.2:80
> поставить первым в цепочке PREROUTING, проверьте что в таблице фильтров в FORWARD
> разрешены эти пакеты (192.168.1.171 > 192.168.1.2:80) и посмотрите tcpdump с шлюза
> еще раз
>> 3. На веб-сервере тишина.
>> Если переходить на веб-сервер с инета или же с локальной сети, но
>> указав при этом локальный адрес веб-сервера, то веб-сервере идет соответствующий вывод
>> tcpdump, о том что к нему приходят пакеты.
tcpdump выдает тоже самое.
Из логов iptables:
May  8 13:09:15 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31509 DF PROTO=TCP SPT=50098 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:21 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31540 DF PROTO=TCP SPT=50097 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:21 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31544 DF PROTO=TCP SPT=50098 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:33 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31623 DF PROTO=TCP SPT=50099 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:33 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31626 DF PROTO=TCP SPT=50100 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:33 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31627 DF PROTO=TCP SPT=50101 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:36 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31642 DF PROTO=TCP SPT=50099 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:36 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31645 DF PROTO=TCP SPT=50100 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:36 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31646 DF PROTO=TCP SPT=50101 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:42 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31692 DF PROTO=TCP SPT=50099 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:42 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31695 DF PROTO=TCP SPT=50100 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:42 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31696 DF PROTO=TCP SPT=50101 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:54 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31776 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:09:57 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31792 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
May  8 13:10:03 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31822 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0

"веб сайт с локальных машин."
Отправлено reader , 08-Май-13 13:52

>[оверквотинг удален]
> RES=0x00 SYN URGP=0
> May  8 13:09:54 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2
> LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31776 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192
> RES=0x00 SYN URGP=0
> May  8 13:09:57 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2
> LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31792 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192
> RES=0x00 SYN URGP=0
> May  8 13:10:03 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2
> LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31822 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192
> RES=0x00 SYN URGP=0
что это логировалось можно узнать только видя правила, предположим что это логировали перед блокировкой в таблице фильтров, тогда получается что ip назначения изменился , а порт остался 8080, проверьте правило проброса

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 14:15

>[оверквотинг удален]
>> RES=0x00 SYN URGP=0
>> May 8 13:09:57 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2
>> LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=31792 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192
>> RES=0x00 SYN URGP=0
>> May 8 13:10:03 smoothwall kernel: IN=eth0 OUT=eth0 SRC=192.168.1.171 DST=192.168.1.2
>> LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31822 DF PROTO=TCP SPT=50102 DPT=8080 WINDOW=8192
>> RES=0x00 SYN URGP=0
> что это логировалось можно узнать только видя правила, предположим что это логировали
> перед блокировкой в таблице фильтров, тогда получается что ip назначения изменился
> , а порт остался 8080, проверьте правило проброса
Да, порты указать забыл. Сейчас в логах тоже самое, но с портом 80.
Сейчас цепочка FORWARD выглядит так.
-A FORWARD -s 169.254.0.0/16 -j lldrop
-A FORWARD -d 169.254.0.0/16 -j lldrop
-A FORWARD -i ppp0 -j ipblock
-A FORWARD -i ippp0 -j ipblock
-A FORWARD -i eth2 -j ipblock
-A FORWARD -j timedaccess
-A FORWARD -j secout
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j outbound
-A FORWARD -o ippp0 -m state --state NEW -j outbound
-A FORWARD -o eth2 -m state --state NEW -j outbound
-A FORWARD -i ppp0 -j portfwf
-A FORWARD -i ippp0 -j portfwf
-A FORWARD -i eth2 -j portfwf
-A FORWARD -m mark --mark 0x1 -j portfwf
-A FORWARD -m mark --mark 0x3 -j portfwf
-A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j dmzholes
-A FORWARD -i eth0 -o ipsec0 -j ACCEPT
-A FORWARD -i ipsec0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 ! -o ppp0 -j MINIUPNPD
-A FORWARD -i ippp0 ! -o ippp0 -j MINIUPNPD
-A FORWARD -i eth2 ! -o eth2 -j MINIUPNPD
-A FORWARD -j LOG
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
Может какое-то правило нужно добавить, если да то какое?

"веб сайт с локальных машин."
Отправлено reader , 08-Май-13 14:42

>[оверквотинг удален]
> -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
> -A FORWARD -i eth1 -o eth0 -j dmzholes
> -A FORWARD -i eth0 -o ipsec0 -j ACCEPT
> -A FORWARD -i ipsec0 -o eth0 -j ACCEPT
> -A FORWARD -i ppp0 ! -o ppp0 -j MINIUPNPD
> -A FORWARD -i ippp0 ! -o ippp0 -j MINIUPNPD
> -A FORWARD -i eth2 ! -o eth2 -j MINIUPNPD
> -A FORWARD -j LOG
> -A FORWARD -j REJECT --reject-with icmp-port-unreachable
> Может какое-то правило нужно добавить, если да то какое?
добавте на самый верх
-A FORWARD -i eth0 -o eth0 -s 192.168.1.0/24 -j ACCEPT

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 14:47

>[оверквотинг удален]
>> -A FORWARD -i eth0 -o ipsec0 -j ACCEPT
>> -A FORWARD -i ipsec0 -o eth0 -j ACCEPT
>> -A FORWARD -i ppp0 ! -o ppp0 -j MINIUPNPD
>> -A FORWARD -i ippp0 ! -o ippp0 -j MINIUPNPD
>> -A FORWARD -i eth2 ! -o eth2 -j MINIUPNPD
>> -A FORWARD -j LOG
>> -A FORWARD -j REJECT --reject-with icmp-port-unreachable
>> Может какое-то правило нужно добавить, если да то какое?
> добавте на самый верх
> -A FORWARD -i eth0 -o eth0 -s 192.168.1.0/24 -j ACCEPT
Все пошли пакеты на веб-сервер. tcpdump фиксирует их.

"веб сайт с локальных машин."
Отправлено reader , 08-Май-13 14:49

>[оверквотинг удален]
>>> -A FORWARD -i ipsec0 -o eth0 -j ACCEPT
>>> -A FORWARD -i ppp0 ! -o ppp0 -j MINIUPNPD
>>> -A FORWARD -i ippp0 ! -o ippp0 -j MINIUPNPD
>>> -A FORWARD -i eth2 ! -o eth2 -j MINIUPNPD
>>> -A FORWARD -j LOG
>>> -A FORWARD -j REJECT --reject-with icmp-port-unreachable
>>> Может какое-то правило нужно добавить, если да то какое?
>> добавте на самый верх
>> -A FORWARD -i eth0 -o eth0 -s 192.168.1.0/24 -j ACCEPT
> Все пошли пакеты на веб-сервер. tcpdump фиксирует их.
ip источника чей при этом? клиента или шлюза?

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 14:52

>[оверквотинг удален]
>>>> -A FORWARD -i ppp0 ! -o ppp0 -j MINIUPNPD
>>>> -A FORWARD -i ippp0 ! -o ippp0 -j MINIUPNPD
>>>> -A FORWARD -i eth2 ! -o eth2 -j MINIUPNPD
>>>> -A FORWARD -j LOG
>>>> -A FORWARD -j REJECT --reject-with icmp-port-unreachable
>>>> Может какое-то правило нужно добавить, если да то какое?
>>> добавте на самый верх
>>> -A FORWARD -i eth0 -o eth0 -s 192.168.1.0/24 -j ACCEPT
>> Все пошли пакеты на веб-сервер. tcpdump фиксирует их.
> ip источника чей при этом? клиента или шлюза?
00:00:00.004000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
00:00:05.742000 IP 192.168.1.2.80 > 192.168.1.171.55536: Flags [S.], seq 83859846, ack 943084869, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.001000 IP 192.168.1.171.55536 > 192.168.1.2.80: Flags [S], seq 943084868, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.253000 IP 192.168.1.2.80 > 192.168.1.171.55537: Flags [S.], seq 3050914466, ack 5121046, win 8192, options [mss 1460,nop,nop,sackOK], length 0
00:00:00.000000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192, options [mss 1460,nop,nop,sackOK], length 0

"веб сайт с локальных машин."
Отправлено reader , 08-Май-13 14:58

>[оверквотинг удален]
> 00:00:00.004000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192,
> options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
> 00:00:05.742000 IP 192.168.1.2.80 > 192.168.1.171.55536: Flags [S.], seq 83859846, ack
> 943084869, win 8192, options [mss 1460,nop,nop,sackOK], length 0
> 00:00:00.001000 IP 192.168.1.171.55536 > 192.168.1.2.80: Flags [S], seq 943084868, win
> 8192, options [mss 1460,nop,nop,sackOK], length 0
> 00:00:00.253000 IP 192.168.1.2.80 > 192.168.1.171.55537: Flags [S.], seq 3050914466,
> ack 5121046, win 8192, options [mss 1460,nop,nop,sackOK], length 0
> 00:00:00.000000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192,
> options [mss 1460,nop,nop,sackOK], length 0
это с web-сервера?
snat не отработал.

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 15:10

>[оверквотинг удален]
>> 00:00:05.742000 IP 192.168.1.2.80 > 192.168.1.171.55536: Flags [S.], seq 83859846, ack
>> 943084869, win 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.001000 IP 192.168.1.171.55536 > 192.168.1.2.80: Flags [S], seq 943084868, win
>> 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.253000 IP 192.168.1.2.80 > 192.168.1.171.55537: Flags [S.], seq 3050914466,
>> ack 5121046, win 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.000000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192,
>> options [mss 1460,nop,nop,sackOK], length 0
> это с web-сервера?
> snat не отработал.
А его, правила SNAT, оказывается не было. После перезагрузки оно пропало. Сейчас добавил, все работает огромное спасибо!!
Сейчас добавлю правила, что б они после перезагрузки оставались.

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 15:21

>[оверквотинг удален]
>> 00:00:05.742000 IP 192.168.1.2.80 > 192.168.1.171.55536: Flags [S.], seq 83859846, ack
>> 943084869, win 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.001000 IP 192.168.1.171.55536 > 192.168.1.2.80: Flags [S], seq 943084868, win
>> 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.253000 IP 192.168.1.2.80 > 192.168.1.171.55537: Flags [S.], seq 3050914466,
>> ack 5121046, win 8192, options [mss 1460,nop,nop,sackOK], length 0
>> 00:00:00.000000 IP 192.168.1.171.55537 > 192.168.1.2.80: Flags [S], seq 5121045, win 8192,
>> options [mss 1460,nop,nop,sackOK], length 0
> это с web-сервера?
> snat не отработал.
Так, он немного поработал и перестал)))
Пришлось добавить правило:
-A FORWARD -s 192.168.1.0/24 -i eth1 -o eth0 -j ACCEPT

"веб сайт с локальных машин."
Отправлено ILeonor , 08-Май-13 14:40

>>[оверквотинг удален]
> что это логировалось можно узнать только видя правила, предположим что это логировали
> перед блокировкой в таблице фильтров, тогда получается что ip назначения изменился
> , а порт остался 8080, проверьте правило проброса
В общем изменил сообщение логов, для большей информативности.
Пакеты попадают в лог в цепочке FORWARD на правиле:
-A FORWARD -j LOG
А дальше попадают в правило:
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
и сбрасывается.