Перейти к содержимому
Калькуляторы

проблема с пробросом порта через iptables

Схема такая:

WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10)

На 192.168.42.10 висит открытый порт (5554)  нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ?

 

 

Quote


*filter
:INPUT ACCEPT [207:14108]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1268:287059]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [185:11544]
:INPUT ACCEPT [82:4649]
:OUTPUT ACCEPT [4:290]
:POSTROUTING ACCEPT [6:406]
-A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.42.10/32 -p tcp -m tcp --dport 5554 -j SNAT --to-source 192.168.42.1
COMMIT


 

Изменено пользователем Bdfy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в отсутствии разрешающего правила в цепочке FORWARD?

А зачем там еще и SNAT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правило SNAT не нужно.

Нужно правило в форвард на разрешение IP 192.168.42.10 доступа в мир.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Замените -A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

на -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

 

и будет вам щастье

 

P.S.

И да, -A FORWARD -j DROP можно убрать и просто выставить :FORWARD DROP [0:0]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.