Правило iptables, что не так?

Question

[diiimonn]

Провожу эксперименты по маршрутизации.
Соединение таково: мой комп -> роутер -> мир.
zz.zz.zz.zzz - статический адрес на роутере, адрес моего компа в домашней сети - 192.168.1.100.

Делаю так:

#iptables -t nat -A PREROUTING -p tcp --dport 5656 -j DNAT --to-destination xxx.xx.xx.xxx:80

xxx.xx.xx.xxx - просто есть такой адрес сайта.
Ожидаю что если я обращусь из браузера zz.zz.zz.zzz:5656 то мне откроется сайт. Но чет не открывается и все застывает в бесконечном ожидании.
Больше никаких дополнительных правил нет ни в iptables ни в таблицах маршрутизации. На роутере проброшены 80 и 5656 порты.
Как сделать чтоб работало?

Comments

[mureevms]

Роутер-то на линукс системе?

[diiimonn]

mureevms: Да вроде бы, TP-Link TL-WR740N

Answer 1

[mureevms]

Так Вы это все делаете на локальной машине с линуксом? И перенаправляете локальные запросы через роутер на себя при помощи NATа на этой же машине? Мсье знает толк :)
Как мне показалось, все трое ответивших до меня подумали, что линукс=роутер в Вашем описании. Так и я подумал сначала.
В общем, не страдайте фигней, поднимите виртуалку, на ней и будете NATить свою машину.

Comments

[diiimonn]

так и есть, безумная была затея..)

Answer 2

[3vi1_0n3]

Построутинг забыли

iptables -t nat -A PREROUTING -d <адрес-роутера-в-локалке> -p tcp -m tcp --dport 5656 -j DNAT --to-destination xxx.xx.xx.xxx:80
iptables -t nat -A POSTROUTING -d xxx.xx.xx.xxx -p tcp -m tcp --dport 5656 -j SNAT --to-source <адрес-машины-в-локалке>

Comments

[diiimonn]

Можете слегка прокомментировать, я не пойму почему "PREROUTING -d <адрес-роутера-в-локалке>" это же критерий адреса назначения, а он есть - 192.168.1.100. И тоже не ясно почему в POSTROUTING "--dport 5656" он ведь смениться на 80 после PREROUTING.

[3vi1_0n3]

diiimonn: Это пример того, как при обращении на сам роутер на порт 5656 пробросить трафик на xxx.xx.xx.xxx:80. В postrouting мы указываем признак пакетов, на которые нам надо сделать source NAT, иначе пакеты обратно с роутера до вашего компьютера не дойдут. Как-то так. Если вам надо форвардить при обращении на порт 5656 на любом сайте, то надо еще подумать.

[Валентин]

diiimonn: у вас не было обратного правила

Answer 3

[Андрей Буров]

покажите весь iptables -v -n -t nat -L PREROUTING
Порядок правил в iptables имеет значение.

Comments

[diiimonn]

Chain PREROUTING (policy ACCEPT 33 packets, 3825 bytes)
pkts bytes target prot opt in out source destination
72 4320 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5656 to:xxx.xx.xx.xxx:80

[Андрей Буров]

diiimonn: а с самого роутера xxx.xx.xx.xxx:80 доступен?

[diiimonn]

мм. не понял) Ну вот я из браузера например могу получить xxx.xx.xx.xxx:80, я так понимаю что с роутера значит он доступен. Или что имеется ввиду?

Answer 4

[Azazel PW]

Примерно так:
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.2 -d 0.0.0.0/0 --dport 5656 -j DNAT --to-destination xxx.xx.xx.xxx:80

Я думаю понятно что 192.168.0.2 это локальный адрес с которого идет запрос.
исправил опечатку

Comments

[diiimonn]

не сработало. А точно ли адрес источника будет локальный? Запрос ведь идет от роутера к моему компу , т.е. по идее адрес источника будет zz.zz.zz.zzz(см.условие). Или я ошибаюсь?

[Azazel PW]

diiimonn: Вы все смешали. Источник в данном случае компьютер. от него идет запрос на роутер. таким правилом которое я вам написал, при любом обращении во внешнюю сеть. например 8.8.8.8:5656 вы попадете на свой x.x.x.x:80
Если вы со своего компьютера обращаетесь к своему компьютеру, "смотрю условие задачи". То о каком PREROUTING да и маршрутизации вы говорите
внутри сети класса C.