Здравствуйте!
Пытаюсь реализовать такую связку:INET -> 11.22.33.44-OpenWRT-192.168.254.254 -> 192.168.254.200-CentOS-192.168.153.253 -> 192.168.253.110-Win2003
Пытаюсь проверить доступность порта 8080 из инета, результат - порт закрыт..
На Win2003 открыт порт 8080 и разрешён в брандмауэре.
На CentOS iptables
На OpenWRT iptables
Цепочку прохождения вижу так:
На OpenWRT правила:
-A PREROUTING -i pppoe-wan -j zone_wan_prerouting -A zone_wan_prerouting -d 11.22.33.44/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.254.200:8080
-A FORWARD -j forward
-A forward -i pppoe-wan -j zone_wan_forward -A zone_wan_forward -d 192.168.254.200/32 -p tcp -m tcp --dport 8080 -j ACCEPT
На CentOS правила:
-A PREROUTING -d 192.168.254.200 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.253.110:8080
-A FORWARD -d 192.168.253.110 -p tcp -m tcp --dport 8080 -j ACCEPT
На Win2003 разрешения есть для входящих соединений на 8080 порт
На CentOs правила:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s $LAN_1_NET -o $WAN_1 -j SNAT --to-source $WAN_1_IP
На OpenWRT правила:
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -o pppoe-wan -j zone_wan_nat
-A zone_wan_nat -p tcp -j SNAT --to-source 11.22.33.44
На всех интерфейсах от 11.22.33.44 до 192.168.253.110 смотрю tcpdump-ом и вижу прохождение пакетов. Вот вывод tcpdump-а на внешнем интерфейсе OpenWRT:
root@OpenWrt:~# tcpdump -vv -n -i pppoe-wan port 8080
tcpdump: listening on pppoe-wan, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
22:10:51.227426 IP (tos 0x70, ttl 56, id 13727, offset 0, flags [DF], proto TCP (6), length 60) 188.40.74.10.36930 > 11.22.33.44.8080: Flags [S], cksum 0x2ff2 (correct), seq 2775666110, win 5840, options [mss 1460,sackOK,TS val 545290273 ecr 0,nop,wscale 9], length 0
22:10:51.229484 IP (tos 0x0, ttl 126, id 23526, offset 0, flags [none], proto TCP (6), length 64) 11.22.33.44.8080 > 188.40.74.10.36930: Flags [S.], cksum 0xd48f (correct), seq 4043753414, ack 2775666111, win 16384, options [mss 1452,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
22:10:53.580516 IP (tos 0x0, ttl 126, id 23527, offset 0, flags [none], proto TCP (6), length 64) 11.22.33.44.8080 > 188.40.74.10.36930: Flags [S.], cksum 0xd48f (correct), seq 4043753414, ack 2775666111, win 16384, options [mss 1452,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
22:10:54.227660 IP (tos 0x70, ttl 56, id 13728, offset 0, flags [DF], proto TCP (6), length 60) 188.40.74.10.36930 > 11.22.33.44.8080: Flags [S], cksum 0x2d04 (correct), seq 2775666110, win 5840, options [mss 1460,sackOK,TS val 545291023 ecr 0,nop,wscale 9], length 0
22:11:00.142767 IP (tos 0x0, ttl 126, id 23528, offset 0, flags [none], proto TCP (6), length 64) 11.22.33.44.8080 > 188.40.74.10.36930: Flags [S.], cksum 0xd48f (correct), seq 4043753414, ack 2775666111, win 16384, options [mss 1452,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
На CentOS открыт еще и 443 порт. Открыт он непосредственно на этой машине. При проверке снаружи - открыт..
Проверка nmap-ом с OpenWRT показывает, что порт 8080 на CentOS открыт:
root@OpenWrt:/lib/firewall# nmap -sT -p 8080 192.168.254.200
Starting Nmap 5.51 ( http://nmap.org ) at 2013-03-26 03:10 MSK
Nmap scan report for 192.168.254.200
Host is up (0.00054s latency).
PORT STATE SERVICE
8080/tcp open http-proxy
MAC Address: 00:0C:29:AF:7F:3C (VMware)
Куда дальше копать - не понимаю %(
Вариант для распечатки
(ok) on 26-Мрт-13, 04:09 
