[v.v.s.]

Добрый день,

Патался пробросить порт для сервера UltraVNC, для этого настроил в нате следуюшие правила:

 

;;; Overload
    chain=srcnat action=masquerade src-address=[подсеть с сервером] out-interface=[внешний интерфейс роутера]
;;; VNC dst
    chain=dstnat action=dst-nat to-addresses=[адрес сервера] to-ports=5900 protocol=tcp in-interface=[внешний интерфейс роутера] dst-port=5900

 

На сервере все доступны из вне все другие проброшенные через этот роутер порты

Сервер нормально ходит в интернет через нат

 

Попробую подключиться к серверу VNC из внешней сети и обнаруживаю, что в ответ на попытку подключения ничего не приходит и клиент отваливается по таймауту.

Решил погуглить на эту тему и нашел эту много раз перепечатанную статью в которой говорилось, что нужно добавить правило слудуюшего вида:

 

chain=srcnat action=src-nat to-addresses=[внутренний адрес роутера] to-ports=0-65535 protocol=tcp dst-address=[адрес сервера] dst-port=5900

 

После добавления этого правила все заработало

 

Обьясните пожалуйста, почему без этого не заводилось, ведь по идее все пакеты от сервера должны были попадать под маскарадинг?

Edited March 14, 2014 by v.v.s.

[Saab95]

В правиле маскардинга не нужно указывать внешний интерфейс роутера, а только подсеть, для которой преобразовывать адреса.

 

В правиле проброса так же не нужно указывать входящий интерфейс, нужно указать IP адрес сервера в dst.address, по которому будут обращаться снаружи.

[v.v.s.]

В правиле проброса так же не нужно указывать входящий интерфейс, нужно указать IP адрес сервера в dst.address, по которому будут обращаться снаружи.

он у меня динамический (хотя, правило можно и скриптом исправить)

А есть принципиальная разница в том указан ли адрес или интерфейс?

 

версия софта 5.26

Edited March 14, 2014 by v.v.s.