Почему iptables не транслирует реальный IP?

Question

[Илья Плотников]

Установлен шлюз на iptables. Пробрасываю порт 10003 с внешних интерфейсов на локальный IP. Все пакеты приходят от локальнонго ip шлюза, а внешних не видно. Google показывает такие-же конфиги, как мой. Подскажите, как транслировать внешний ip клиента при пробросе порта?

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m multiport --ports 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A PREROUTING -p tcp -m tcp --dport 10003 -j DNAT --to-destination 192.168.100.237:10003

-A POSTROUTING -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

Answer 1

[Владимир]

-A POSTROUTING -j MASQUERADE

вот это всё портит

Comments

[Илья Плотников]

Просто убрать?

[Илья Плотников]

-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Оставил только это. Без этих строк не работает. С ними вижу внутренний ip шлюза

[ldv]

Илья Плотников: нужна только 1 строчка - для внешнего интерфейса

[Илья Плотников]

Попробовал убрать для внутреннего интерфейса, перестает работать проброс

[ldv]

Илья Плотников: проверяете работоспособность снаружи сети?

[Илья Плотников]

ldv: да, через второй шлюз

[ldv]

Илья Плотников: проверьте извне, чтобы быть уверенным точно. И покажите текущую конфигурацию.

[Илья Плотников]

ldv:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m multiport --ports 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 10003 -j DNAT --to-destination 192.168.100.237:10003
-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

Вот так снаружи не работает

[ldv]

Илья Плотников: может на 192.168.100.237 шлюз не тот указан?

[Владимир]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 10003 -j DNAT --to-destination 192.168.100.237:10003
-A POSTROUTING -o eth0 -j MASQUERADE
при условии что eth0 - интерфейс смотрящий в инет

[Илья Плотников]

Да, там шлюз другой. Но он только входящие соединения принимает. А это так важно?

[ldv]

Илья Плотников: важно

[Илья Плотников]

Указал этот шлюз. Заработало. Какое правило добавить, что бы работало для других хостов, у которых указан альтернативный шлюз?

[ldv]

Илья Плотников: клиент подсоединяется на внешний_адрес_1, если вы указываете другой шлюз, то пакеты к нему придут с неизвестного ему внешнего_адреса_2.

[Владимир]

без подмены реального IP к тем у кого другие шлюзы не получится никак

[Илья Плотников]

Владимир: ldv: да, это понятно, но без второго -A POSTROUTING -o eth1 -j MASQUERADE не работал проброс на другие ip, для которых нельзя указать этот шлюз. Решилось с помощью -d параметра для MASQUERADE

Всем спасибо, проблема решена