 Проброска порта через iptables,  bdfy, 22-Авг-18, 22:21 [смотреть все]Схема такая:WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10) На 192.168.42.10 висит открытый порт (5554) нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ?
*filter
:INPUT ACCEPT [207:14108]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1268:287059]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [185:11544]
:INPUT ACCEPT [82:4649]
:OUTPUT ACCEPT [4:290]
:POSTROUTING ACCEPT [6:406]
-A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
COMMIT
|
- Проброска порта через iptables, Andrey Mitrofanov, 10:03 , 23-Авг-18 (1)
Судя по
> :FORWARD ACCEPT [0:0] , это не он. Значит, > *nat
> :PREROUTING ACCEPT [185:11544]
> -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT
> --to-destination 192.168.42.10:5554 ppp client ( 192.168.42.10) должен "знать" входящие внешние, c WAN, ip и отвечать на них: на клиенте в файерволе открыть для приходящих [белых, видимо] ip и default gateway поставить - на роуткр (ppp server). Либо, если без роутинга и пр., можно извратиться и маскарадить внутрь то, что форвардится, чтобы для .42.10 все эти соединения выглядели пришедшими с .42.1.
- Проброска порта через iptables, Andrey Mitrofanov, 10:04 , 23-Авг-18 (2)
> Судя по
>> :FORWARD ACCEPT [0:0]
> , это не он. Значит,
>> *nat
>> :PREROUTING ACCEPT [185:11544] А, ну и ip_forward или как его там включить на роутре, а то нули в #>:FORWARD ACCEPT [0:0]
- Проброска порта через iptables, админ локалхоста, 11:50 , 28-Авг-18 (3)
> А, ну и ip_forward или как его там включить на роутре, а
> то нули в
> #>:FORWARD ACCEPT [0:0] там нули, потому что последнее правило в FORWARD явное -j DROP, откуда в таком раскладе счетчики на default policy возьмутся-то?
- Проброска порта через iptables, Andrey Mitrofanov, 12:30 , 28-Авг-18 (4)
>> А, ну и ip_forward
>> #>:FORWARD ACCEPT [0:0]
> там нули, потому что последнее правило в FORWARD явное -j DROP, откуда
> в таком раскладе счетчики на default policy возьмутся-то?Ну... да, ладно.
- Проброска порта через iptables, Bimosha, 10:09 , 11-Мрт-19 (5)
>[оверквотинг удален]
> COMMIT
> *nat
> :PREROUTING ACCEPT [185:11544]
> :INPUT ACCEPT [82:4649]
> :OUTPUT ACCEPT [4:290]
> :POSTROUTING ACCEPT [6:406]
> -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT
> --to-destination 192.168.42.10:5554
> -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
> COMMIT Не много не по теме, как разбанить ip на своем сервере?
- Проброска порта через iptables, Andrey Mitrofanov, 11:27 , 11-Мрт-19 (6)
>> COMMIT
> Не много не по теме, как разбанить ip на своем сервере?8-O Также, как банил, только наоборот и в обратном порядке. Очевидно же.
|
Версия для распечатки
