Листинг iptables
iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N local_services
-A INPUT -i eno1 -m set --match-set white_list src -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j DROP
-A INPUT ! -i eno1 -j local_services
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eno1 -m set --match-set lan2wan_list src -j ACCEPT
-A FORWARD -i eno1 -m set --match-set white_list src -j ACCEPT
-A FORWARD -i eno1 -m set --match-set nated_list dst -j ACCEPT
-A local_services -p udp -m udp --dport 53 -j ACCEPT
-A local_services -p udp -m udp --dport 67 -j ACCEPT
-A local_services -p udp -m udp --dport 123 -j ACCEPT
iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -i eno1 -p tcp -m tcp --dport 20022 -j DNAT --to-destination 10.254.20.20:22
-A PREROUTING -i eno1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.254.20.20:4025
-A PREROUTING -i eno1 -p tcp -m tcp --dport 587 -j DNAT --to-destination 10.254.20.20:587
-A PREROUTING -i eno1 -p tcp -m tcp --dport 465 -j DNAT --to-destination 10.254.20.20:465
-A PREROUTING -i eno1 -p tcp -m tcp --dport 993 -j DNAT --to-destination 10.254.20.20:993
-A PREROUTING -i eno1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.254.20.11:80
-A PREROUTING -i eno1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.254.20.11:443
-A POSTROUTING -o eno1 -m set --match-set lan2wan_list src -j MASQUERADE
ipset list
Name: white_list
Type: hash:net
Revision: 7
Header: family inet hashsize 1024 maxelem 65536 bucketsize 12 initval 0xb0fdad5c
Size in memory: 504
References: 2
Number of entries: 1
Members:
176.214.101.11
Name: black_list
Type: hash:net
Revision: 7
Header: family inet hashsize 1024 maxelem 65536 bucketsize 12 initval 0x6e7b79c4
Size in memory: 456
References: 0
Number of entries: 0
Members:
Name: lan2wan_list
Type: hash:net
Revision: 7
Header: family inet hashsize 1024 maxelem 65536 bucketsize 12 initval 0x605a3236
Size in memory: 552
References: 2
Number of entries: 2
Members:
10.254.30.0/24
10.254.20.0/24
Name: nated_list
Type: hash:ip,port
Revision: 6
Header: family inet hashsize 1024 maxelem 65536 bucketsize 12 initval 0x3fcfe891
Size in memory: 488
References: 1
Number of entries: 6
Members:
10.254.20.20,tcp:993
10.254.20.20,tcp:587
10.254.20.20,tcp:4025
10.254.20.20,tcp:465
10.254.20.11,tcp:80
10.254.20.11,tcp:443
Проблема в том, что для white list все работает, а для пользователей из интернет, через правило не прошел ни один пакет, конкретно через это
-A FORWARD -i eno1 -m set --match-set nated_list dst -j ACCEPT
Пользователи из интернета, не могут в принципе подключится...
Что я упустил?
По хорошему нужно NAT для белого списка и NAT для интернет пользователей.