В чем ошибка настройки перенаправления в iptables?

Question

[Сергей Степанов]

Есть сервер ip1, который доступен для подключения с локальной машины, с этого сервера есть доступ до сервера ip2. Чтобы не использовать ssh тунели через ip1 для доступа к ip2, хочу настроить перенаправление траффика через iptables.

Выполняю
sudo sysctl net.ipv4.ip_forward=1
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT1 -m state --state NEW -j DNAT --to $IP2:$PORT2
sudo iptables -t nat -A POSTROUTING -j MASQUERADE

Выполняю на сервере ip1 команду 'telnet $IP2 $PORT2' - успех
Однако на локальной машине выполнение 'telnet $IP1 $PORT1' не дает результата.

В чем ошибка?
PS
Не лучше ли для такой задачи использовать nginx или haproxy?

UPD:
а, так $PORT1 на $IP1 никто ведь не слушает ‍♂️
nginx или haproxy как раз и будут процессами, которые слушают $PORT1?
Или как можно по-другому систему заставить слушать определенный порт
UPD2:
Запустил nginx, теперь $PORT1=80 слушается на $IP1
Однако перенаправление не работает

Comments

[Sand]

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT1 -m state --state NEW -j DNAT --to-destination $IP2:$PORT2

[Сергей Степанов]

Sand, замена --to на --to-destination не помогла(

[Sand]

Сергей Степанов, а Вы удалили прошлое правило?

[Sand]

Сергей Степанов, посмотрите вывод:
sudo iptables -nvL -t nat

[Сергей Степанов]

Sand, ага, iptables-restore пользуюсь

sudo iptables -nvL -t nat:
Chain PREROUTING (policy ACCEPT 13 packets, 516 bytes)
pkts bytes target prot opt in out source destination
25 1060 DOCKER all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
4 208 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW to:$IP2:$PORT2

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * !docker0 172.17.0.0/16 0.0.0.0/0
0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0

[kolbasjer]

$PORT1 на $IP1 не должен слушаться.
С настроенным DNAT-ом Netfilter на сервере $IP1 для всех входящих пакетов с адресом назначения $IP1:$PORT1:
1. автоматически заменяет адрес назначения на $IP2:$PORT2
2. отправляет изменённые пакеты в $IP2

Судя по этой схеме адреc назначения у пакетов заменяется до маршрутизации пакета (на схеме это прямоугольник "nat prerouting" в Network Layer).
Так что nginx-у, слушающему на $IP1:$PORT1, этот пакет не должен быть доставлен вообще.

Answer 1

[hbfhqvl331]

Вот тут и тут написано как настроить DNAT.

MASQUERADE не нужен т.к. это SNAT, а тут настраивается DNAT.

Указывать -m state --state NEW нет смысла.
Netfilter вроде и так реализует NAT через отслеживание соединений, т.е. он и так применяет правило из таблицы nat только к первому пакету соединения, а у остальных пакетов соединения ip-адреса и порты перезаписываются автоматически.
Вот тут есть про это:

At each of the points above, when a packet passes we look up what connection it is associated with. If it's a new connection, we look up the corresponding chain in the NAT table to see what to do with it. The answer it gives will apply to all future packets on that connection.

Посмотреть текущие отслеживаемые соединения можно с помощью conntrack и cat /proc/net/ip_conntrack

В общем, должно хватить такого:

sudo sysctl net.ipv4.ip_forward=1
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT1 -j DNAT --to-destination $IP2:$PORT2

У меня работает.

Если никак не получается, можно использовать TRACE (описание ищите здесь) чтобы увидеть где именно в iptables пакеты не проходят.

Comments

[jcmvbkbc]

Нужно ещё как минимум проверить, что цепочка FORWARD в таблице filter на сервере ip1 разрешает приём пакетов на порт $PORT1 (см. вывод sudo iptables -vL FORWARD -t filter)