> не нужно их прокидывать, не к тому месту вы этот термин применяете.
> в данном случае вы просто разрешаете их прохождение и делаете для
> них SNAT ( меняете адрес источника в пакете). прокидывают это когда
> меняют адрес назначения (DNAT).Понял. Исправлюсь)))
> если уверены что за всем уследили и хочется плодить для каждого разрешенного
> отдельное правило - ради бога.
Для разрешённых уверен, уже раз 100 проверил и столько же проверю когда смогу разрешить доступ по SNAT.
> если нужно только с этого диапазона, при других не пускать, исправте правило
> в таблице фильтров. только какая гарантия что у клиента будут использованы
> только эти порты.
> что это за программа, если торрент то вы можете ошибиться.
А разве это правило не пропустит этот диапазон портов?
-A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT
Мы ведь здесь разрешаем с определённым портом назначения оставляя свободную лазейку для исходящих портов. И как я вижу по логам порты прходят все цепочки в плоть до POSTROUTING.
>> Клиент как обычно открывает на своей машине порт для инициализации соединения из
>> диапазона свободных портов. И отправляет пакет на порт 5000 во внешнюю
>> сеть интернет на inet_ip
> тут разрешить в таблице фильтров,
опять же:
-A FORWARD -i eth2 -s 192.168.10.3 -p tcp --dport 5000 -j ACCEPT
-A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
> сделать snat как показывал,
Если вы это имеете ввиду
> -A POSTROUTING -o внешний_интерфейс -j SNAT --to-source ваш_внешний_ip, и не более
то мне не нужно весь интерфейс(я так понимаю eth2) перенаправлять а только отдельные порты отдельных IP.
И если учесть этот критерий
> В том то и дело что не для всех а только для него. Нужно именно этому IP дать доступ в интернет по произвольному порту 3000-4000 на машину в интернете на порт 5000
То верна ли такая запись?
-A POSTROUTING -p tcp -s 192.168.10.3 --dport 5000 -j SNAT --to-source my_inet_ip
Под my_inet_ip имеется ввиду ip адрес выданный мне провайдером
и
> echo 1 > /proc/sys/net/ipv4/ip_forward
Это включено
> при этом у клиента должен быть прописан шлюз и dns.
Шлюз прописан как 192.168.10.10, а вот dns не прописывал. Такой же прописывать как и в модеме?
> все, нет тут проброса, а вот если вы захотите перехватить этот пакет
> и отправить не туда куда его отправил клиент, тогда уже и
> будет проброс.
Это если бы можно было бы его завернуть на прокси а потом из прокси вывернуть в интернет на ту самую машину на тот самый порт, то да. Но это уже по моему извращенство.
>>>> P.S. Большое спасибо вам за ответы и ваше терпение.