Bdfy Опубликовано 21 августа, 2018 (изменено) · Жалоба Схема такая: WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10) На 192.168.42.10 висит открытый порт (5554) нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ? Quote *filter :INPUT ACCEPT [207:14108] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1268:287059] -A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j DROP -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp+ -o eth0 -j ACCEPT -A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT -A FORWARD -j DROP COMMIT *nat :PREROUTING ACCEPT [185:11544] :INPUT ACCEPT [82:4649] :OUTPUT ACCEPT [4:290] :POSTROUTING ACCEPT [6:406] -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554 -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -d 192.168.42.10/32 -p tcp -m tcp --dport 5554 -j SNAT --to-source 192.168.42.1 COMMIT Изменено 21 августа, 2018 пользователем Bdfy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 22 августа, 2018 · Жалоба в отсутствии разрешающего правила в цепочке FORWARD? А зачем там еще и SNAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 августа, 2018 · Жалоба Правило SNAT не нужно. Нужно правило в форвард на разрешение IP 192.168.42.10 доступа в мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 23 августа, 2018 · Жалоба Замените -A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT на -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT и будет вам щастье P.S. И да, -A FORWARD -j DROP можно убрать и просто выставить :FORWARD DROP [0:0] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...