[Bdfy]

Схема такая:

WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10)

На 192.168.42.10 висит открытый порт (5554)  нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ?

 

 

Quote

*filter
:INPUT ACCEPT [207:14108]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1268:287059]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [185:11544]
:INPUT ACCEPT [82:4649]
:OUTPUT ACCEPT [4:290]
:POSTROUTING ACCEPT [6:406]
-A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.42.10/32 -p tcp -m tcp --dport 5554 -j SNAT --to-source 192.168.42.1
COMMIT

 

Edited August 21, 2018 by Bdfy

[Mystray]

в отсутствии разрешающего правила в цепочке FORWARD?

А зачем там еще и SNAT?

[kayot]

Правило SNAT не нужно.

Нужно правило в форвард на разрешение IP 192.168.42.10 доступа в мир.

[Pinkbyte]

Замените -A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

на -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

 

и будет вам щастье

 

P.S.

И да, -A FORWARD -j DROP можно убрать и просто выставить :FORWARD DROP [0:0]