Главная » Форум » Gentoo Linux » Системное администрирование

форвардинг пакетов в iptables

Гость 5 апреля, 2006 - 16:37

Доброго времени суток!

Стоит задача настроить переброс пакетов из интернета на конкретный порт локальной машины.
10.20.0.3 - внешний интерфейс
192.168.3.250 - внутренний
Необходимо, что бы при коннекте с 10.20.0.3 по 250 порту пакеты перебрасывались в локальную сеть на 192.168.3.249:25.

Поддержку iptables в ядро включил, настраиваю следующим так:

*raw
:PREROUTING ACCEPT [9959:1831588]
:OUTPUT ACCEPT [9987:5155160]
COMMIT
*nat
:PREROUTING ACCEPT [403:42734]
:POSTROUTING ACCEPT [428:27922]
:OUTPUT ACCEPT [437:28462]
[0:0] -A PREROUTING -d 10.20.0.3 -p tcp -m tcp --dport 250 -j DNAT --to-destination 192.168.3.249:25
[0:0] -A POSTROUTING -d 10.20.0.3 -p tcp -m tcp --dport 250 -j SNAT --to-source 192.168.3.249
COMMIT
*mangle
:PREROUTING ACCEPT [9996:1869538]
:INPUT ACCEPT [9995:1869509]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9966:5228424]
:POSTROUTING ACCEPT [9966:5228424]
COMMIT
*filter
:INPUT ACCEPT [107796:51413096]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [109434:44878258]
[0:0] -A FORWARD -d 192.168.3.249 -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
COMMIT

В итоге не работает..
# telnet 10.20.0.3 250
Trying 10.20.0.3...
telnet: connect to address 10.20.0.3: Connection refused

Есть у кого, какие мысли на сей счёт?

‹ Какой лучше Jabber сервер выбрать Инет для друзей. Вопросик. ›
»

Автор Semargl (не зарегистрирован), дата создания 5 апреля, 2006 - 17:08.

http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
Здесь подробно про DNAT
И включил ли ты форвардинг в ядре? Если нет - то:
echo 1 > /proc/sys/net/ipv4/ip_forward
Все должно работать.

»

вместо POSTROUTING -d

Автор Semargl (не зарегистрирован), дата создания 5 апреля, 2006 - 17:20.

вместо POSTROUTING -d 10.20.0.3 -p tcp -m tcp --dport 250 -j SNAT --to-source 192.168.3.249
надо POSTROUTING -d 10.20.0.3 -p tcp -m tcp --dport 250 -j SNAT --to-source 192.168.3.250
Насколько я понял ты пытаешься коннектиться из внутренней сети?

»

Вместо -A POSTROUTING

Автор Semargl (не зарегистрирован), дата создания 6 апреля, 2006 - 09:45.

Вместо -A POSTROUTING -d 10.20.0.3 -p tcp -m tcp --dport 250 -j SNAT --to-source 192.168.3.249 , надо -A POSTROUTING -d 192.168.3.249 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.3.250
На сколько я понял ты пытаешься телнетиться с внутренней сети?
Во вторых смотри здесь: http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
Ну а в третьих посмотри включен ли форвардинг в ядре, если нет, то:
echo 1 > /proc/sys/net/ipv4/ip_forward

Например у меня так:
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination 10.1.1.201:80
#$IPTABLES -t nat -A POSTROUTING -p tcp --dst 10.1.1.201 --dport 80 -j SNAT --to-source $LAN_IP

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".