Как исключить один порт от перенаправления трафика iptables?

Question

[unbelieve]

Привет.
Если на одном сервере выполнить команду:

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx -j DNAT --to-destination yyy.yyy.yyy.yyy

то весь трафик с одного сервера с ip xxx уйдет на сервер 2 с ip yyy.

Как из этого списка исключить один порт? Например, 22.

Заодно, здесь же спрошу.

Как из этого списка можно исключить диапазон ip адресов? Например если составить отдельную таблицу (в iptables) со списком ip адресов, как должна выглядеть команда, исключающая эту таблицу от перенаправления трафика?

Спасибо.

Answer 1

[AUser0]

! -dport 22 Или ACCEPT порта 22 перед DNAT.

Делаете в таблице ACCEPT/REJECT для каждого исключённого адреса. А после прохода таблицы уже DNAT.

Comments

[unbelieve]

команда

iptables -t nat -I PREROUTING -p tcp -d xxx ! --dport 22 -j DNAT --to-destination yyy

не сработала

[Руслан Федосеев]

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx -j DNAT --to-destination yyy.yyy.yyy.yyy

если надо исключить список ип - точно также. Сначала это список ACCEPTим, а потом все остальное натим...

[unbelieve]

Руслан Федосеев, спасибо

[unbelieve]

Руслан Федосеев, я создал таблицу при помощи ipset: ipset -N list nethash
Как мне таблицу "list" так же исключить от переадресации?

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx -m set --match-set list src -j ACCEPT

Так? Спасибо

[Руслан Федосеев]

так. Но только ДО правила маскарада. Сначала исключаете, потом натите.

[unbelieve]

Руслан Федосеев, почему-то такой способ не сработал. Все правила удалил, потом изначально добавил нужные правила, и только в конце переадресацию.

[Руслан Федосеев]

iptables -t nat -L -v -n -x
покажите

[unbelieve]

Руслан Федосеев,
с таблицей nat всё норм, PREROUTING сработал.

Но не сработала команда создания таблицы list. Ну как.

ipset -N list nethash
в ответ пишет "ipset v7.17: Set cannot be created: set with the same name already exists"
iptables -t list -L -v -n -x
в ответ пишет "iptables v1.8.9 (legacy): can't initialize iptables table `list': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded."

Я не знаю, как это решать.

[AUser0]

unbelieve, IP-адреса в список ipset вставляет ipset. iptables использует ipset list как упоминание, мол "если конкретный IP совпадает с вот этим ipset-списком - то...".

[Руслан Федосеев]

unbelieve, перевести текст ошибок на русский язык и включить голову...

[unbelieve]

Руслан Федосеев, переводил, искал, делал modprobe и тд. Пока не помогло.

[AUser0]

unbelieve, повторюсь для невнимательных, IP-адреса в список ipset вставляет ipset.

[unbelieve]

AUser0,

ipset -N list nethash
ipset -A list 2.2.2.2/32
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 -m set --match-set list src,dst -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 -j DNAT --to-destination 10.0.0.2
iptables -t nat -A POSTROUTING -p tcp --dst 10.0.0.2 -j SNAT --to-source 10.0.0.1

вот такие команды. ip-адреса условные, для примера.

Данный способ не дает нужного результата.
Т.е. сайт с ip 2.2.2.2 должен открыться через сервер 10.0.0.1, но этого не происходит, весь трафик уходит в 10.0.0.2

Куда копать?

[AUser0]

unbelieve, указывая -p tcp -d 10.0.0.1, вы сруливаете не туда. Пакет предназначается IP 2.2.2.2, не вашему 10.0.0.1. Соответственно правило не срабатывает. И нужен не ACCEPT, а DNAT по видимому.

[unbelieve]

AUser0,

Я делал по аналогии с примером

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 --dport 22 -j ACCEPT

данный код работает. Т.е. порт 22 не сруливает в ip 10.0.0.2, а открывается в 10.0.0.1.

Ровно такая же штука нужна для таблицы "list", который я создал, добавил туда нужные ip адреса.

[AUser0]

unbelieve, так в этом и ошибка. К какому IP обращается некий компьютер? К IP 2.2.2.2, так? А правило iptables -t nat -A PREROUTING -p tcp -d 10.0.0.1 обработает какие пакеты? Те, у которых пункт назначения - 10.0.0.1. Ведь в правиле прямо так и написано: -d 10.0.0.1. Значит запрос с пунктом назначения 2.2.2.2 не будет обработан этим правилом, ведь 2.2.2.2 <> 10.0.0.1 (символы <> - это знак неравенства).

Вот так - понятно?

Answer 2

[Valentin Barbolin]

Как из этого списка можно исключить диапазон ip адресов? Например если составить отдельную таблицу (в iptables) со списком ip адресов, как должна выглядеть команда, исключающая эту таблицу от перенаправления трафика?

пример с блокировкой, но идея та же.
https://www.skleroznik.in.ua/2014/03/12/blokiruem-...