welinux.ru/Есть проблема!

21.02.11 15:15 uscr

Есть проблема! — Снова iptables.

По следам этого поста.

Поправил скрипт. Теперь он выглядит так:

#!/bin/sh

# На всякий случай очистим цепочку FORWARD
iptables -F FORWARD

# На всякий случай очистим цепочку POSTROUTING таблицы nat
iptables -t nat -F POSTROUTING

# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT

# Весь остальной транзитный трафик — запрещаем.
iptables -P FORWARD DROP

#проброс
iptables -t nat -A OUTPUT -d 192.168.0.254 -p tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80

# NAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.254

Собственно, не работает проброс порта. Нужно при обращении на 4242 порт внешнего интерфейса роутера получить ответ от 192.168.1.2:80, который находится за NATом. Пытаюсь достичь желаемого строкой
iptables -t nat -A OUTPUT -d 192.168.0.254 -p tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80,
но не работает. Изменение на такое:
iptables -t nat -A PREROUTING -p tcp --dport 4242 -d 192.168.0.254 -j DNAT --to-destination 192.168.0.2:80
тоже не работает. Как победить это? А что вообще думаете на счёт секурности такого фаерволла?

Вот ещё вывод iptables-save:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33 iptables-save # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *mangle :PREROUTING ACCEPT [1049:88465] :INPUT ACCEPT [271:23601] :FORWARD ACCEPT [778:64864] :OUTPUT ACCEPT [144:20599] :POSTROUTING ACCEPT [911:84611] COMMIT # Completed on Mon Feb 21 18:19:09 2011 # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *nat :PREROUTING ACCEPT [106:8224] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [1:59] -A PREROUTING -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.254 -A OUTPUT -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 -A OUTPUT -d 192.168.0.254/32 -p tcp -m tcp --dport 4242 -j DNAT --to-destination 192.168.1.2:80 COMMIT # Completed on Mon Feb 21 18:19:09 2011 # Generated by iptables-save v1.4.8 on Mon Feb 21 18:19:09 2011 *filter :INPUT ACCEPT [17:2053] :FORWARD DROP [3:180] :OUTPUT ACCEPT [11:1075] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.1.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT COMMIT # Completed on Mon Feb 21 18:19:09 2011

Похожие +-1–

Теги: iptables dnat gateway шлюз

: knicefire 21.02.11 16:35 # +1–

iptables -t nat -A PREROUTING -i (внешний интерфейс) -p tcp -m tcp --dport 4242 -j DNAT --to destination 192.168.1.2:80

так должно работать

: zz 21.02.11 17:32 # +2–

Здесь есть ответ.

: tiresome 21.02.11 18:34 # +0–

http://welinux.ru/post/4346/#cmnt83896

—

kstep — « Новости / Вышел первый стабильный релиз Postler» k0st1an — « Есть проблема! / [РЕШЕНО] Не устанавливается ubuntu на ноут с USB» ginz — « Мой рабочий стол. / Минималистичность=)» ms_shark — « Новости / Вышел первый стабильный релиз Postler» exelens — « welinux / Новый хостинг» uscr — « welinux / Новый хостинг» ( 1 ) thoughtful_fox — « welinux / Новый хостинг» ( 1 ) Midler — « welinux / Новый хостинг» ( 1 ) goblinyara — « Есть вопрос! / Pulseaudio - управление балансом» ZED — « welinux / Новый хостинг» ( 1 ) ZED — « Юмор / Картинко!» ( -1 ) wiz — « Talks! / Важность диплома.» ( 1 ) Daria — « Talks! / Важность диплома.» Daria — « Я рекомендую. / Плеер с базой ape» emostar — « welinux / Новый хостинг» ( 1 ) exelens — « welinux / Новый хостинг» ( -2 )
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 158) Tips & tricks (38) How-to`s (29) Есть вопрос! (26) Archlinux (26) Vim (23) Я рекомендую. (22) Python (20) Мой рабочий стол. (19) KDE (18) Скрипты (18)
Элита (все 3245 из 234 городов) muhas (276.95) Shtsh (191.4) ZogG (159.5) cppmm (159) digiwhite (142.9) Aesdana (132.1) h0rr0rr_drag0n (125.5) wiz (114.9) Minoru (99.65) kstep (96.9)

В сети: knicefire, kstep, Vzlom, shidoh, SDSWanderer

Новенькие: neqste, ktulhy-kun, iMihael, palsanich, Brodyaga