Как пробросить порт с хост машины в kvm впс?

Question

[Jebati]

Как я пробрасываю порты сейчас так:

Host_ipaddr=123.45.67.89 # eth0
Guest_ipaddr=192.168.122.57 # virbr0
Host_port=(  '7482' )
Guest_port=( '22' )

for i in `seq 0 $length`; do
	iptables -t nat -A PREROUTING -d ${Host_ipaddr} -p ${Proto} --dport ${Host_port[$i]} -j DNAT --to ${Guest_ipaddr}:${Guest_port[$i]//:/-}
	iptables -t nat -A OUTPUT --dst ${Host_ipaddr} -p ${Proto} --dport ${Host_port[$i]} -j DNAT --to-destination ${Guest_ipaddr}
	iptables -I FORWARD -d ${Guest_ipaddr}/32 -p ${Proto} -m state --state NEW -m ${Proto} --dport ${Guest_port[$i]} -j ACCEPT
done

Запросы на 123.45.67.89:7482 из другой сети работают - например с другой машины, или с другой впс на этой же машине. Но не работают запросы с самой хост машины на 123.45.67.89:7482.
В чем может быть проблема? Как решить с помощью iptables?

Answer 1

[Jebati]

Изменил SSH порт в VPS на 7482

Host_port=(  '7482' )
Guest_port=( '7482' )

И заработало...

Answer 2

[Zerg89]

Tracert 123.45.67.89 что выдаёт?

Comments

[Jebati]

root@s46:~# traceroute 123.45.67.89
traceroute to 123.45.67.89 (123.45.67.89), 30 hops max, 60 byte packets
 1  s46.srv.com (123.45.67.89)  0.019 ms  0.005 ms  0.008 ms

[Zerg89]

Jebati, это с хостовой машины откуда достучаться не получается?

[Jebati]

Zerg89,
я пробрасываю порт через IPTables с 123.45.67.89:7482 в впс, которая запушена на этой хост машине.
Из другой сети работают запросы по 123.45.67.89:7482, они доходят до ВПС. Даже с других впс запущенных на той же машине запросы доходят. А вот запрос с хост машины на 123.45.67.89:7482 - до впс не доходит.

[Zerg89]

Jebati, попробуй дописать

iptables -I input -d ${Guest_ipaddr}/32 -p ${Proto} -m state --state NEW -m ${Proto} --dport ${Guest_port[$i]} -j ACCEPT

, похоже что он воспринимает трафик как локальный

[Jebati]

Zerg89, сделал, так же не работает.

# ssh -p 7482 fastdl@123.45.67.89
ssh: connect to host 123.45.67.89 port 7482: Connection refused

# iptables -vL -t nat | egrep ".57"; iptables -vL | egrep ".57"
    0     0 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57:22
    1    60 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.122.57       state NEW tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.122.57       state NEW tcp dpt:ssh

Если верить счетчику, то запрос не дошел даже. На DNAT было только что-то

[Zerg89]

Пробуй обратный нат в локалку

[Jebati]

Zerg89, если я верно понял

iptables -t nat -A POSTROUTING -p ${Proto} --dport ${Host_port[$i]} -d ${Host_ipaddr} -j SNAT --to-source ${Guest_ipaddr}:${Guest_port[$i]//:/-}

0     0 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57:22
    1    60 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57
    0     0 SNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57:22
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.122.57       state NEW tcp dpt:ssh

Тоже не хочет

[Zerg89]

dpt:7482 to:192.168.122.57:22
Порты в обратную сторону должны быть с 22 на 7482, только я не пойму почему трафик в prerouting не попадает

[Jebati]

Zerg89,

iptables -t nat -A POSTROUTING -p ${Proto} --dport ${Guest_port[$i]} -d ${Guest_ipaddr} -j SNAT --to-source ${Host_ipaddr}:${Host_port[$i]//:/-

Так?

0     0 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57:22
    1    60 DNAT       tcp  --  any    any     anywhere             s46.srv.com   		tcp dpt:7482 to:192.168.122.57
    0     0 SNAT       tcp  --  any    any     anywhere             192.168.122.57      tcp dpt:ssh to:123.45.67.89:7482
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.122.57       state NEW tcp dpt:ssh