Как сделать проброс портов через iptables?

Question

[nano_e_t_4]

Всем привет
Знаю, что тема избитая и на просторах интернета очень много таких вопросов (потому что сам рылся и на практике все проверял), но проблема все равно остается:
нужно сделать элементарный проброс входящего трафика с 80-го порта на порт 8080. iptables чистые. то есть вообще чистые, ни в одной табличке\цепочке ничего не прописано...
делаю вот так:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

на 80-м порту нету ничего. на порту 8080 висит nginx, который отдает страничку nginx
при запросу на ip хоста:80 с другой машины присходит connection refused. на 8080 соответственно nginx
никак не могу сообразить, почему так...подскажите плз

Comments

[krosh]

REDIRECT работает только в пределах одного хоста. У вас nginx и правила одном хосте? Если напрямую на 8080/tcp зайти, страничка отдается?
Это шлюз или просто сервер?
Другая машина локальная или из другой подсети?

Answer 1

[Erelecano Oioraen]

А вы интерфейс указывать не пробовали?
iptables -t nat -A PREROUTING -i ethN -p tcp --dport $srcPortNumber -j REDIRECT --to-port $dstPortNumber

Answer 2

[nano_e_t_4]

пробовал. не помогает :( причем указывал как по одному (в результате было 3 правила, на eth0 eth1 b lo) так и -i all

Answer 3

[Maxim Kovalenko]

Правило редиректа порта верное:

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

Добавь еще правила форвардинга:

#-A FORWARD -i eth0 -o eth1 -j ACCEPT
#-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -d $LOCAL_IP -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

Еще рекомендую к прочтению https://www.opennet.ru/base/net/nat_redirect.txt.html