Как пробросить порт Cent OS 7?

Question

[Владимир Коротенко]

Пробую пробросить порт внутрь KVM но соединение не работает, что можно сделать

iptables -t nat -A PREROUTING -p tcp --dport 2222 -i enp35s0 -j DNAT --to-destination 192.168.122.52:22

192.168.122.52 это внутренний адрес виртуалки

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp35s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether a8:a1:59:3f:aa:b9 brd ff:ff:ff:ff:ff:ff
    inet 11.111.9.225/31 brd 255.255.255.255 scope global enp35s0
       valid_lft forever preferred_lft forever

3: enp36s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether a8:a1:59:3f:b3:a5 brd ff:ff:ff:ff:ff:ff
4: enp3s0f0u14u3c2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 16:1f:ec:44:f9:37 brd ff:ff:ff:ff:ff:ff
5: virbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:23:1d:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever
6: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN group default qlen 1000
    link/ether 52:54:00:23:1d:00 brd ff:ff:ff:ff:ff:ff
7: vnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master virbr0 state UNKNOWN group default qlen 1000
    link/ether fe:54:00:e2:ea:19 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fee2:ea19/64 scope link
       valid_lft forever preferred_lft forever

Comments

[AUser0]

Смотрите на самом хосте прохождение этого трафика, буквально поинтерфейсно.

[Drno]

на debian это выглядит вот так

sysctl -w net.netfilter.nf_conntrack_helper=1
iptables -I FORWARD -o virbr0 -d 192.168.121.2 -j ACCEPT
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.121.2:10000

хотя conntrack наверно ненадо, это вроде для pptp

KVM работает с сетью NAT, порты пробрасываются на миротик на виртуалке. дальше уже он у меня всё раздает

[Владимир Коротенко]

Drno, в том то и дело что правило

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.121.2:10000

не сохраняется

iptables -S

просто его не выводит

[hint000]

Владимир Коротенко,

iptables -S
просто его не выводит

и не должно выводить, потому что без ключа -t [таблица] по-умолчанию команда относится к таблице filter, а указанное правило в таблице nat, потому что -t nat.
И еще на вопрос в таком виде невозможно ответить, потому что нужно уточнение, как была настроена сеть для KVM (там есть варианты).

[Владимир Коротенко]

hint000,

<network>
  <name>default</name>
  <uuid>95d9f5a1-437a-4d9f-9eef-599c38bbd31e</uuid>
  <forward mode='nat'/>
  <bridge name='virbr0' stp='on' delay='0'/>
  <mac address='52:54:00:23:1d:00'/>
  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254'/>
    </dhcp>
  </ip>
</network>

[hint000]

Владимир Коротенко, ага, получается, тут уже не голый KVM, а через прослойку libvirt. Соответственно и гуглить инструкцию нужно не по голому KVM, а по libvirt (разница есть):
https://wiki.libvirt.org/Networking.html#forwardin...

Но если по-хорошему, не рекомендую этот геморрой с режимом nat; лучше сразу делать в режиме моста, всё гораздо прозрачнее:
https://wiki.libvirt.org/Networking.html#bridged-n...

[Владимир Коротенко]

hint000, за то и пришел, как говорится есть разница

[hint000]

Владимир Коротенко, ну так по ссылке разъясняется разница. Правила iptables вручную и произвольно прописывать - когда и KVM вручную конфигурируется. А если не вручную, а через libvirt, то в инструкции же пишут, что нужен hook для libvirt.
Libvirt ограничивает свободу. Если связались с libvirt для упрощения настройки, то уже нельзя делать что угодно, надо следовать инструкциям. Как там в советском мультфильме было: - Раньше вы гуляли сами по себе... - А теперь мы будем гулять по бабушке!- А теперь вы будете гулять под присмотром [бабушки Удава].

Почему вы игнорируете инструкцию по ссылке - непонятно для меня.

[Владимир Коротенко]

hint000, Засветитесь ответом, это сработало

Answer 1

[hint000]

ага, получается, тут уже не голый KVM, а через прослойку libvirt. Соответственно и гуглить инструкцию нужно не по голому KVM, а по libvirt (разница есть):
https://wiki.libvirt.org/Networking.html#forwardin...

Но если по-хорошему, не рекомендую этот геморрой с режимом nat; лучше сразу делать в режиме моста, всё гораздо прозрачнее:
https://wiki.libvirt.org/Networking.html#bridged-n...

Answer 2

[Александр Карабанов]

Выведи все правила iptbles -S -t nat и iptbles -S посмотри куда добавилось твоё правило и подними его повыше если оно оказалось после правила которое обрабатывает такие пакеты раньше.

Убедись, что forwarding включен, а так же, что в цепочке FORWARD таблицы Filter нет запрещающих правил для таких пакетов.

И не стоит вот так руками добавлять правила если не знаешь, что делаешь - лучше найди в /etc конфиг, впиши своё правило туда.