Проброс портов iptables, qemu, linux+windows, firewall?

Question

[V A]

Всем Привет, подскажите как сделать:
Есть Линукс (Centos 6.7), на ней виртуалка Windows Server 2012R2 (qemu, libvirt), На виртуалке облачный сервис для электронных устройств.

Так вот я пробросил 80, 3389, 21, порты

Для сервиса имеется настольная CMS, так вот она по 6601-6612 портам коннектится.

Пробрасываю тем же путем в iptables^
iptables -t nat -A PREROUTING —dst АЙПИ-СЕРВЕРА -p tcp —dport 6601:6612 -j DNAT —to-destination 192.168.122.253
iptables -I FORWARD 2 -i eth0 -o virbr0 -d 192.168.122.253 -p tcp -m tcp —dport 6601:6612 -j ACCEPT

eth0 внешка, virbr0 фэйс виртуалки
И нифига нивкакую

Comments

[Алексей Ямщиков]

Может проще высунуть виртуалку напрямую в сеть через бридж?

[O . J]

попробуй udp

[V A]

вот конфа
iptables -nvL

Chain INPUT (policy ACCEPT 9431 packets, 717K bytes)
 pkts bytes target     prot opt in     out     source               destination
  114  7264 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
    9  3087 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:67
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:6603 state NEW
    2   120 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8222
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:6601:6615
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:6601:6615

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 4603 1068K ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
    0     0 ACCEPT     udp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     udp dpts:6601:6615
   65  4950 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6615
   11   572 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.122.253     state NEW tcp dpt:3389
90045   11M ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24    state RELATED,ESTABLISHED
92951   51M ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0
   31  1784 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    3   152 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:8222
    6   304 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:8222
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:23
  139 10945 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6615
    3   152 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:8222
   53 17670 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
   54  4113 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:6603
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:6603
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:6605
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpts:6601:6612
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80
    0     0 ACCEPT     tcp  --  eth0   virbr0  0.0.0.0/0            192.168.122.253     tcp dpt:80

Chain OUTPUT (policy ACCEPT 44715 packets, 2765K bytes)
 pkts bytes target     prot opt in     out     source               destination

[V A]

Алексей Ямщиков: каким образом это грамотно реализовать?

[V A]

nmap -sT -O 192.168.122.253

Starting Nmap 5.51 ( http://nmap.org ) at 2016-03-31 17:03 CEST
Nmap scan report for 192.168.122.253
Host is up (0.0015s latency).
Not shown: 988 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
3389/tcp  open  ms-term-serv
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49158/tcp open  unknown
MAC Address: 52:54:00:72:73:21 (QEMU Virtual NIC)
Device type: general purpose
Running: Microsoft Windows 7
OS details: Microsoft Windows 7 Ultimate
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds

[Алексей Ямщиков]

У вас виртуалка подключена к сети через NAT, вам нужно изменить тип подключения на Bridge
Как конкретно - да хоть через virtmanager или через консоль. Точно не скажу - давно гипервизоры на libvirt не трогаю.
Таким образом получите виртуальную машину в той же сети, что и основной хост. Она получит свой собственный адрес, на который вы сможете обращаться беспрепятственно. Если это у вас на хостинге - тут вам нужен будет доп адрес белый.

[Андрей Буров]

iptables -nvL -t nat покажите

[V A]

Алексей Ямщиков: вируталка подключена через NAT. выделенный сервер с белым IP (Hetzner)

[V A]

Андрей Буров:

iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 652 packets, 73240 bytes)
 pkts bytes target     prot opt in     out     source               destination
  389 20520 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:80 to:192.168.122.253
   14   822 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6612 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:6605 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:80 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6612 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:6603 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:6603 to:192.168.122.253:6603
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6612 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:80 to:192.168.122.253
   23  1340 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:23 to:192.168.122.253
    4   208 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6615 to:192.168.122.253
    7   360 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:8222 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:8222 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:8222 to:192.168.122.253:8222
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:8888 to:192.168.122.253:3389
   11   572 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:8889 to:192.168.122.253:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpt:80 to:192.168.122.253
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6615 to:192.168.122.253
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         udp dpts:6601:6615 to:192.168.122.253

Chain POSTROUTING (policy ACCEPT 39334 packets, 1845K bytes)
 pkts bytes target     prot opt in     out     source               destination
  131  6812 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
  107 58505 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24

[Алексей Ямщиков]

Vgzrs 77424: тогда, в случае подключения через бридж вам нужно будет заказать доп адрес и после получения запросить отдельный mac адрес, который прописать на интерфейсе виртуалки.
Но вообще странно, у вас по идее порты пробрасываются и должно работать.
По какому протоколу работает ваш облачный сервис (tcp,udp)?

[V A]

Алексей Ямщиков: по какому протоколу я пока непонял, но там много сервисов, это целая CMS, веб-серв на tomcat. такой интферейс hostingkartinok.com/show-image.php?id=dac2700020f1...

[V A]

Алексей Ямщиков: по UDP (6603, 6605 нужно подрубить)

[Алексей Ямщиков]

Vgzrs 77424: в ваших правилах, которыми вы пробрасываете, указан tcp - поменяйте на udp

[V A]

Алексей Ямщиков:
Все почистил, одинаковые правила удалил

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             192.168.122.253     tcp dpt:http
2    ACCEPT     udp  --  anywhere             192.168.122.253     udp dpts:6601:6615
3    ACCEPT     tcp  --  anywhere             192.168.122.253     tcp dpts:mstmg-sstp:6615
4    ACCEPT     tcp  --  anywhere             192.168.122.253     state NEW tcp dpt:ms-wbt-server
5    ACCEPT     tcp  --  anywhere             192.168.122.253     state NEW tcp dpt:ms-wbt-server
6    ACCEPT     all  --  anywhere             192.168.122.0/24    state RELATED,ESTABLISHED
7    ACCEPT     all  --  192.168.122.0/24     anywhere
8    ACCEPT     all  --  anywhere             anywhere
9    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
10   REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
11   ACCEPT     tcp  --  anywhere             192.168.122.253     tcp dpt:telnet

Answer 1

[Андрей Буров]

судя по

14   822 DNAT       tcp  --  *      *       0.0.0.0/0            айпи.сервера.x.xx         tcp dpts:6601:6612 to:192.168.122.253

Пакеты к виртуалке ходят.
Проверяйте с помощью wireshart/tcpdump на самой виртуалке доходят ли они.

И у вас еще очень много одинаковых правил.

Comments

[V A]

Спасибо, одинаковые правила как-то влияют ? они ведь конце списка

[Андрей Буров]

Vgzrs 77424: просто некрасиво. На поведение не влияют, но в случае если пакет не подходит не под одно из правил, он будет проверять все...