iptables проброс

Spook1680

Тестовый вариант.
Почему на 1 комп пускает удаленно а на другой нет?

Т.е. стучусь по адресу белому в офис и на компы 0.2 и 0.105 попадаю.
Но на машину 0.213:47397 Ну ни как ((.

Код: Выделить всё

# iptables-save
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*mangle
:PREROUTING ACCEPT [19056:3199472]
:INPUT ACCEPT [1353:598787]
:FORWARD ACCEPT [17698:2599865]
:OUTPUT ACCEPT [1253:614375]
:POSTROUTING ACCEPT [18948:3214004]
COMMIT
# Completed on Thu Jun 12 16:10:41 2014
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*nat
:PREROUTING ACCEPT [276:20571]
:POSTROUTING ACCEPT [19:1113]
:OUTPUT ACCEPT [18:1061]
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 211/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389 
-A PREROUTING -d 211/32 -p tcp -m tcp --dport 43237 -j DNAT --to-destination 192.168.0.105:43237 
[b]-A PREROUTING -d 211/32 -p tcp -m tcp --dport 47397 -j DNAT --to-destination 192.168.0.213:47397 [/b]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 77.108.98.211 
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 110 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 995 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 993 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 25 -j SNAT --to-source 79
COMMIT
# Completed on Thu Jun 12 16:10:41 2014
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*filter
:INPUT ACCEPT [313:23723]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1250:614139]
-A INPUT -i eth1 -p tcp -m tcp --dport 10000 -j DROP 
-A INPUT -i eth1 -p tcp -m tcp --dport 52993 -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2743 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 43247 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 5901:5903,6001:6003,47397,43237,3389,20,21 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT 
-A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT 
-A FORWARD -p tcp -m tcp --dport 47397 -j ACCEPT 
-A FORWARD -p tcp -m tcp --dport 43247 -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rayder · Непрочитанное сообщение **rayder** » 2014-06-13 16:18:44

Вы уверены что не пускает?

Код: Выделить всё

[root]?[~] nmap -p47397  77.108.98.211 

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-13 16:17 EEST
Nmap scan report for 77.108.98.211
Host is up (0.046s latency).
PORT      STATE    SERVICE
47397/tcp filtered unknown

А что тамсоб-но слушает? udp/tcp не перепутали? что tcpdump показывает?

UPD: а сюда его случаем добавить не надо?

Код: Выделить всё

A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT

Spook1680

А смысл там есть правило отдельное ниже. Добавлял и сюда но не пускает.

Код: Выделить всё

A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT

rayder · Непрочитанное сообщение **rayder** » 2014-06-14 15:06:02

а что по другим вопросам?

Spook1680

rayder писал(а):а что по другим вопросам?

Код: Выделить всё

# tcpdump -n -i eth1 port 47397
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:48:31.695585 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:48:34.694351 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:48:40.697175 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,nop,sackOK], length 0

^C
# tcpdump -n -i eth0 port 47397
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:35.941944 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:49:38.938966 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:49:44.938265 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Nardamon · Непрочитанное сообщение **Nardamon** » 2014-11-17 4:01:17

Потому что шлюз по умолчанию или другой, или вообще нету.
На машину приходит, а оттуда никуда.

forum.lissyara.su

iptables проброс

iptables проброс

Услуги хостинговой компании Host-Food.ru

Re: iptables проброс

Re: iptables проброс

Re: iptables проброс

Re: iptables проброс

Re: iptables проброс