Kак реализовать редирект исходящего http соединения к 1.1.1.1 на 2.2.2.2 в Debian?

Question

[Alex M.]

здравствуйте, передо мной стоит задача реализовать переброс исходящего http трафика к 1.1.1.1 на 192.168.80.1!
другими словами моя виртуальная машина при со единении к 1.1.1.1 должна получать контент от 192.168.80.1
пробовал реализовать с помощью iptables пока не получается!

iptables -t nat -A PREROUTING -s 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088

root@host:~# iptables-save
# Generated by iptables-save v1.4.14 on Tue Apr 14 14:15:52 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue Apr 14 14:15:52 2015
# Generated by iptables-save v1.4.14 on Tue Apr 14 14:15:52 2015
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
COMMIT
# Completed on Tue Apr 14 14:15:52 2015

root@host:~# sysctl -a|grep ip_forward
net.ipv4.ip_forward = 1

root@host:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:56:21:65:12
          inet addr:192.168.80.130  Bcast:192.168.80.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fe21:6512/64 Scope:Link

Answer 1

[Владимир]

добавить перед

-A FORWARD -j REJECT --reject-with icmp-port-unreachable

-A FORWARD -s 1.1.1.1 -p tcp -m tcp --dport 8088 -d 192.168.80.1 -j ACCEPT

возможно ещё потребуется в цепочке nat

-A POSTROUTING -p tcp -m tcp -s 1.1.1.1 -d 192.168.80.1 --dport 8088 -j SNAT --to-source 192.168.80.130

Comments

[Alex M.]

спасибо за ответ! но решения не сработало!

root@host:~# iptables -t nat -A POSTROUTING -s 1.1.1.1 -d 192.168.80.1 --dport 8088 -j SNAT 192.168.80.130
iptables v1.4.14: unknown option "--dport"
Try `iptables -h' or 'iptables --help' for more information.

[Владимир]

--to-source проморгал
подредактировал ответ

[Alex M.]

тоже самое
root@host:~# iptables -t nat -A POSTROUTING -s 1.1.1.1 -d 192.168.80.1 --dport 8088 -j SNAT --to-source 192.168.80.130
iptables v1.4.14: unknown option "--dport"

[Владимир]

-p tcp -m tcp

[Alex M.]

неа, к сожалению не сработали правила!

root@host:~# nc 1.1.1.1 80
GET /
<html><body><h1>1.1.1.1</h1></body></html>

root@host:~# iptables-save
# Generated by iptables-save v1.4.14 on Tue Apr 14 16:13:57 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 1.1.1.1/32 -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue Apr 14 16:13:57 2015
# Generated by iptables-save v1.4.14 on Tue Apr 14 16:13:57 2015
*nat
:PREROUTING ACCEPT [7:1288]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [8:464]
:POSTROUTING ACCEPT [8:464]
-A PREROUTING -s 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
-A POSTROUTING -s 1.1.1.1/32 -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j SNAT --to-source 192.168.80.130
COMMIT
# Completed on Tue Apr 14 16:13:57 2015

[Владимир]

"при со единения с 1.1.1.1 должна получать контент от 192.168.80.1"
"nc 1.1.1.1 80"
зачем ломиться НА 1.1.1.1 если нужно С него?

[Alex M.]

от я балбес!
не правильно объяснил ситуацию!
надо реализовать переброс исходящего http трафика "К" 1.1.1.1 на 192.168.80.1

[Владимир]

iptables -t nat -A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
iptables -t nat -A POSTROUTING -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j SNAT --to-source 192.168.80.130
iptables -I FORWARD -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j ACCEPT

[Alex M.]

тоже самое не работает

# Generated by iptables-save v1.4.14 on Tue Apr 14 17:16:37 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue Apr 14 17:16:37 2015
# Generated by iptables-save v1.4.14 on Tue Apr 14 17:16:37 2015
*nat
:PREROUTING ACCEPT [43:7242]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [14:1060]
:POSTROUTING ACCEPT [14:1060]
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
-A POSTROUTING -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j SNAT --to-source 192.168.80.130
COMMIT
# Completed on Tue Apr 14 17:16:37 2015

[Владимир]

пробуете с той же машины, на которой прописаны правила?

[Владимир]

если с той же то нужно
iptables -t nat -A OUTPUT -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
т.к. пакеты, генерируемые локальными процессами, не проходят PREROUTING

[Alex M.]

Да да да!
Это Решения!
Спасибо огромное!

Answer 2

[Alex M.]

Решение найдено с помощью пользователя Владимир за что ему огромное спасибо!

iptables -I FORWARD -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j ACCEPT
iptables -t nat -A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088
iptables -t nat -A POSTROUTING -d 192.168.80.1/32 -p tcp -m tcp --dport 8088 -j SNAT --to-source 192.168.80.130
iptables -t nat -A OUTPUT -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.80.1:8088