https://opennet.me/openforum/vsluhforumID1/95837.html Здесь есть гуру? Тогда мы идем к вам :)<br><br>Я не спец в настройках iptables, да и занимаюсь этим от силы раз-два в год, и хотя пытался изучать эту непростую систему, за полгода она быстро забывается.<br>Поэтому до этого времени вполне довольствовался готовыми примерами, которые адаптировал к своей ситуации.<br>Но на один, казалось бы - простейший вопрос, в Рунете к сожалению, не нашлось ни одного вменяемого ответа.<br>Некоторые найденные примеры либо отталкивали своей сложностью, либо авторы сами путались в них.<br><br>Это была преамбула, теперь по сути:<br><br>Есть NAT с внешним 77.77.77.77 и внутренними интерфейсами eth0 и virbr0 (используется KVM).<br>Внутренняя сетка состоит из двух компьютеров - 192.168.122.101 и 192.168.122.102.<br><br>Нужно сделать перенаправление портов извне на эти компьютеры с внешних портов 15901 и 15902 соответственно на внутренние 5901 и 5902.<br><br>Максимум. что сумел сделать - это проброс внешнего порта 5901 на такой же внутренний 5901, и это работает:<br><br>[b]iptables -t nat -A PREROUTING --dst 77.77. https://opennet.me/openforum/vsluhforumID1/95837.html#18 Tue, 28 Oct 2014 13:33:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; т.е. сразу для 2-х входящих портов 15901 и 15902 <br>&gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15901 -j <br>&gt; DNAT --to-destination 192.168.122.101:5901 <br>&gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15902 -j <br>&gt; DNAT --to-destination 192.168.122.102:5902 <br>&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j <br>&gt; ACCEPT <br>&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.102 -p tcp --dport 5902 -j <br>&gt; ACCEPT <br>&gt; iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br><br>Спасибо тебе большое, reader, за действенную помощь! :)<br><br>К сожалению, испытать эти правила пока не смогу, потому что сервак с виртуалками у меня уже отобрали и эксплуатируют вовсю, я до этого временно настроил его по упрощенной схеме - вместо перенаправления портов использовал обычный проброс.<br>Как только он ко мне вернется на профилактику - тут же испытаю.<br><br>А пока твои правила в рамочку и на стенку :)<br><br>Еще раз огромное спасибо!<br> https://opennet.me/openforum/vsluhforumID1/95837.html#17 Mon, 27 Oct 2014 19:03:34 GMT &gt;&gt; я не откажусь если ты выучиш man и info iptables ;) <br>&gt; Дык бесполезно :) Уже писал вверху: <br>&gt;&gt; Я не спец в настройках iptables, да и занимаюсь этим от силы раз-два в год, и хотя пытался изучать эту непростую систему, за полгода она быстро забывается.<br>&gt; Т.е. можно учить-учить, и даже выучить, но потом все равно без практики, <br>&gt; как английский, оно быстро забывается.<br>&gt; Ладно, будь добр, выложи уж окончательный вариант этих команд в полном виде, <br>&gt; т.е. сразу для 2-х входящих портов 15901 и 15902 <br><br>iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15901 -j DNAT --to-destination 192.168.122.101:5901<br>iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15902 -j DNAT --to-destination 192.168.122.102:5902<br><br>iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT<br>iptables -I FORWARD -o virbr0 -d 192.168.122.102 -p tcp --dport 5902 -j ACCEPT<br><br>iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br> https://opennet.me/openforum/vsluhforumID1/95837.html#16 Mon, 27 Oct 2014 18:46:21 GMT &gt; я не откажусь если ты выучиш man и info iptables ;) <br><br>Дык бесполезно :) Уже писал вверху:<br>&gt; Я не спец в настройках iptables, да и занимаюсь этим от силы раз-два в год, и хотя пытался изучать эту непростую систему, за полгода она быстро забывается.<br><br>Т.е. можно учить-учить, и даже выучить, но потом все равно без практики, как английский, оно быстро забывается.<br><br>Ладно, будь добр, выложи уж окончательный вариант этих команд в полном виде, т.е. сразу для 2-х входящих портов 15901 и 15902<br><br><br> https://opennet.me/openforum/vsluhforumID1/95837.html#15 Mon, 27 Oct 2014 18:37:56 GMT &gt;&gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15901 -j DNAT --to-destination 192.168.122.101:5901 <br>&gt;&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT <br>&gt;&gt; iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; Вау! Неужто это заработает? :) Если да, то как мне тебя <br>&gt; отблагодарить?<br><br>я не откажусь если ты выучиш man и info iptables ;)<br> https://opennet.me/openforum/vsluhforumID1/95837.html#14 Mon, 27 Oct 2014 17:25:33 GMT &gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15901 -j DNAT --to-destination 192.168.122.101:5901 <br>&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT <br>&gt; iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br><br>Вау! Неужто это заработает? :) Если да, то как мне тебя отблагодарить?<br> https://opennet.me/openforum/vsluhforumID1/95837.html#13 Mon, 27 Oct 2014 17:21:06 GMT &gt;&gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 5901 -j DNAT --to-destination 192.168.122.101 <br>&gt;&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT <br>&gt;&gt; iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; Где-то тут должен быть внешний порт 15901, не нахожу что-то <br><br>iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 15901 -j DNAT --to-destination 192.168.122.101:5901 <br>iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT <br>iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br> https://opennet.me/openforum/vsluhforumID1/95837.html#12 Mon, 27 Oct 2014 14:34:11 GMT &gt; iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 5901 -j DNAT --to-destination 192.168.122.101 <br>&gt; iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT <br>&gt; iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br><br>Где-то тут должен быть внешний порт 15901, не нахожу что-то<br> https://opennet.me/openforum/vsluhforumID1/95837.html#11 Mon, 27 Oct 2014 14:28:16 GMT &gt;[оверквотинг удален]<br>&gt; :FORWARD ACCEPT [0:0] <br>&gt; :OUTPUT ACCEPT [0:0] <br>&gt; -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; -A INPUT -p icmp -j ACCEPT <br>&gt; -A INPUT -i lo -j ACCEPT <br>&gt; -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 <br>&gt; -j ACCEPT <br>&gt; -A INPUT -j REJECT --reject-with icmp-host-prohibited <br>&gt; -A FORWARD -j REJECT --reject-with icmp-host-prohibited <br>&gt; COMMIT <br><br>iptables -t nat -A PREROUTING --dst 77.77.77.77 -p tcp --dport 5901 -j DNAT --to-destination 192.168.122.101<br><br>iptables -I FORWARD -o virbr0 -d 192.168.122.101 -p tcp --dport 5901 -j ACCEPT<br>iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br> https://opennet.me/openforum/vsluhforumID1/95837.html#10 Mon, 27 Oct 2014 14:08:57 GMT &gt; вообщето я о том что уже показали бы текущие правила что бы <br>&gt; не гадать <br><br>reader, извиняюсь, но не вполне понял ваш вопрос: вы о текущем состоянии iptables ?<br>Если да, то вот он, самый что ни на есть дефолтовый:<br><br># Firewall configuration written by system-config-firewall<br># Manual customization of this file is not recommended.<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>-A INPUT -p icmp -j ACCEPT<br>-A INPUT -i lo -j ACCEPT<br>-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT<br>-A INPUT -j REJECT --reject-with icmp-host-prohibited<br>-A FORWARD -j REJECT --reject-with icmp-host-prohibited<br>COMMIT<br>