Просьба помочь с IPtables Forward?

Question

[sergey_fs]

просьба поомочь с форвардингом порта
Задача сделать так чтобы пробросить порт на сервере в сторону другого сервера

Пробовал сделать так через IPtables но не работает проброс

[root@freeswitch ~]# iptables -t nat -A PREROUTING -p tcp  --dport 2202 -j DNAT --to-destination 192.168.1.2:22
[root@freeswitch ~]#  iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


[root@freeswitch ~]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8095
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5060
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5061
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5090
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5080
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5085
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5060
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5061
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:10000:20000
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9090
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2222
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.2          tcp dpt:22 state NEW,RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
You have mail in /var/spool/mail/root

Comments

[sergey_fs]

cat /etc/sysconfig/iptables

*filter
:INPUT DROP [3:132]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12213:2627914]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Nov 11 18:51:48 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 18:51:48 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.1.6/32 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.1.6
COMMIT

Answer 1

[krosh]

Не ясны условия, что и куда надо пробрасывать? Что не работает?
Но попробуйте решение из аналогичного вопроса: Настройки iptables для транзита на другой сервер?

В цепочке FORWARD надо и обратный (-s) трафик разрешать, сейчас у Вас только туда (-d), до 192.168.1.2, разрешено, а обратно - нет. По ссылке как раз есть два нужных, возможно в них все дело.

Comments

[sergey_fs]

задача проборосить порт до локального сервера и управлять им по ssh

:OUTPUT ACCEPT [1:68]
:POSTROUTING ACCEPT [1:68]
-A PREROUTING -i eno16777984 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.1.6
COMMIT
# Completed on Sat Nov 11 19:30:50 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 19:30:50 2017
*filter
:INPUT DROP [2:80]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [27260:5925157]
:l - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eno16777984 -p tcp -m tcp --dport 8094 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eno16777984 -p tcp -m tcp --dport 4444 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 4444 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4444 -j ACCEPT
COMMIT

Пробовал такой конфиг доступа до локального сервера нет

[krosh]

Покажите
ip a
ip r s
cat /proc/sys/net/ipv4/ip_forward

Проброс должен работать при доступе из внешней или локальной сети?

[sergey_fs]

[root@freeswitch ~]# ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno16777984: mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:50:56:01:18:d0 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.6/24 brd 192.168.1.255 scope global eno16777984
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fe01:18d0/64 scope link
valid_lft forever preferred_lft forever

[sergey_fs]

[root@freeswitch ~]# ip r s
default via 192.168.1.1 dev eno16777984 proto static metric 100
192.168.1.0/24 dev eno16777984 proto kernel scope link src 192.168.1.6 metric 100

[sergey_fs]

krosh, [root@freeswitch ~]# cat /proc/sys/net/ipv4/ip_forward
1

[sergey_fs]

*filter
:INPUT DROP [2:80]
:FORWARD DROP [2:104]
:OUTPUT ACCEPT [7824:1650359]
:l - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4444 -j ACCEPT
COMMIT
# Completed on Sat Nov 11 19:57:24 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 19:57:24 2017
*nat
:PREROUTING ACCEPT [2:695]
:INPUT ACCEPT [1:655]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eno16777984 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --sport 22 -j SNAT --to-source 192.168.1.6:22
-A POSTROUTING -s 192.168.1.6/32 -p tcp -m tcp --sport 4444 -j SNAT --to-source 192.168.1.2:22
COMMIT
# Completed on Sat Nov 11 19:57:24 2017

[sergey_fs]

sergey_fs, krosh, внешней сети

[mureevms]

sergey_fs, и не сработает ни чего, у Вас один интерфейс в системе, поэтому о роутинге речь вообще не идет. Просто используйте ssh клиента.