welinux.ru/Есть проблема!

21.02.11 15:15 uscr

Есть проблема! — Снова iptables.

По следам этого поста.

Поправил скрипт. Теперь он выглядит так:

#!/bin/sh

# На всякий случай очистим цепочку FORWARD
iptables -F FORWARD

# На всякий случай очистим цепочку POSTROUTING таблицы nat
iptables -t nat -F POSTROUTING

# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT

# Весь остальной транзитный трафик — запрещаем.
iptables -P FORWARD DROP

#проброс
iptables -t nat -A OUTPUT -d 192.168.0.254 -p tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80

# NAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.254

Собственно, не работает проброс порта. Нужно при обращении на 4242 порт внешнего интерфейса роутера получить ответ от 192.168.1.2:80, который находится за NATом. Пытаюсь достичь желаемого строкой
iptables -t nat -A OUTPUT -d 192.168.0.254 -p tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80,
но не работает. Изменение на такое:
iptables -t nat -A PREROUTING -p tcp --dport 4242 -d 192.168.0.254 -j DNAT --to-destination 192.168.0.2:80
тоже не работает. Как победить это? А что вообще думаете на счёт секурности такого фаерволла?

Вот ещё вывод iptables-save:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33 iptables-save # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *mangle :PREROUTING ACCEPT [1049:88465] :INPUT ACCEPT [271:23601] :FORWARD ACCEPT [778:64864] :OUTPUT ACCEPT [144:20599] :POSTROUTING ACCEPT [911:84611] COMMIT # Completed on Mon Feb 21 18:19:09 2011 # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *nat :PREROUTING ACCEPT [106:8224] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [1:59] -A PREROUTING -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.254 -A OUTPUT -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 -A OUTPUT -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 COMMIT # Completed on Mon Feb 21 18:19:09 2011 # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *filter :INPUT ACCEPT [17:2053] :FORWARD DROP [3:180] :OUTPUT ACCEPT [11:1075] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT COMMIT # Completed on Mon Feb 21 18:19:09 2011

Похожие +-1–

Теги: iptables dnat gateway шлюз

: knicefire 21.02.11 16:35 # +1–

iptables -t nat -A PREROUTING -i (внешний интерфейс) -p tcp -m tcp --dport 4242 -j DNAT --to destination 192.168.1.2:80

так должно работать

: zz 21.02.11 17:32 # +2–

Здесь есть ответ.

: tiresome 21.02.11 18:34 # +0–

http://welinux.ru/post/4346/#cmnt83896

—

exelens — « Ubuntu / Ubuntu и Wayland - диверсия против линукса» philosoft — « Ubuntu / Ubuntu и Wayland - диверсия против линукса» Daria — « Я рекомендую. / Плеер с базой ape» ( 1 ) hdg700 — « welinux / Конкурс на лучший скрипт стартует прямо сейчас!» ( -1 ) Daria — « Скрипты / Обработка FB2-книг» Daria — « Скрипты / Обработка FB2-книг» ( 1 ) bjaka_max — « Coding / Введение в Lua для начинающих программистов» neclude — « Скрипты / Обработка FB2-книг» ( 1 ) SergMarkov — « Я рекомендую. / Плеер с базой ape» Coding — «Введение в Lua для начинающих программистов — часть 2» ( 1 ) solomenikm — « Скрипты / Обработка FB2-книг» ( 1 ) kovtunos — « Я рекомендую. / Плеер с базой ape» ms_shark — « welinux / Конкурс на лучший скрипт стартует прямо сейчас!» Anrock — « Talks! / Важность диплома.» Скрипты — «Обработка FB2-книг» ( 2 ) Midler — « Ubuntu / Ubuntu и Wayland - диверсия против линукса»
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 158) Tips & tricks (38) How-to`s (29) Есть вопрос! (26) Archlinux (26) Vim (23) Я рекомендую. (22) Python (20) Мой рабочий стол. (19) KDE (18) Скрипты (18)
Элита (все 3237 из 234 городов) muhas (271.35) Shtsh (189.4) ZogG (159.5) cppmm (158) digiwhite (143.2) Aesdana (132.1) h0rr0rr_drag0n (125.5) wiz (113.9) Minoru (99.65) LeniH (93.15)

В сети: shidoh, fra'gg'er, exelens, fat0troll, doraneko, jlep4, Motor

Новенькие: reisen, PGArchangel, drums2004, Regikul, phantomdaemon