Просьба помочь с IPtables Forward?

Question

sergey_fs @sergey_fs

Просьба помочь с IPtables Forward?

просьба поомочь с форвардингом порта
Задача сделать так чтобы пробросить порт на сервере в сторону другого сервера

Пробовал сделать так через IPtables но не работает проброс

[root@freeswitch ~]# iptables -t nat -A PREROUTING -p tcp  --dport 2202 -j DNAT --to-destination 192.168.1.2:22
[root@freeswitch ~]#  iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


[root@freeswitch ~]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:8095
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5060
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5061
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5090
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5080
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:5085
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5060
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5061
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:10000:20000
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9090
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:2222
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.2          tcp dpt:22 state NEW,RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
You have mail in /var/spool/mail/root

Вопрос задан более трёх лет назад
457 просмотров

1 комментарий

Подписаться 1 Средний 1 комментарий

Помогут разобраться в теме Все курсы

Учебный центр «Микротест»

Linux уровень 4. Диагностика и устранение неполадок в Linux (Линукс)

1 день

Далее
Учебный центр «Микротест»

Linux уровень 1. Основы администрирования систем Linux (Линукс)

1 неделя

Далее
Учебный центр «Микротест»

Linux уровень 2. Расширенное администрирование систем Linux (Линукс)

1 неделя

Далее

Пригласить эксперта

Ответы на вопрос 1

8 комментариев

sergey_fs @sergey_fs Автор вопроса

задача проборосить порт до локального сервера и управлять им по ssh

:OUTPUT ACCEPT [1:68]
:POSTROUTING ACCEPT [1:68]
-A PREROUTING -i eno16777984 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.1.6
COMMIT
# Completed on Sat Nov 11 19:30:50 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 19:30:50 2017
*filter
:INPUT DROP [2:80]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [27260:5925157]
:l - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eno16777984 -p tcp -m tcp --dport 8094 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eno16777984 -p tcp -m tcp --dport 4444 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 4444 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4444 -j ACCEPT
COMMIT

Пробовал такой конфиг доступа до локального сервера нет

Написано более трёх лет назад
krosh @krosh

Покажите
ip a
ip r s
cat /proc/sys/net/ipv4/ip_forward

Проброс должен работать при доступе из внешней или локальной сети?

Написано более трёх лет назад
sergey_fs @sergey_fs Автор вопроса

[root@freeswitch ~]# ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno16777984: mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:50:56:01:18:d0 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.6/24 brd 192.168.1.255 scope global eno16777984
valid_lft forever preferred_lft forever
inet6 fe80::250:56ff:fe01:18d0/64 scope link
valid_lft forever preferred_lft forever

Написано более трёх лет назад
sergey_fs @sergey_fs Автор вопроса

[root@freeswitch ~]# ip r s
default via 192.168.1.1 dev eno16777984 proto static metric 100
192.168.1.0/24 dev eno16777984 proto kernel scope link src 192.168.1.6 metric 100

Написано более трёх лет назад
sergey_fs @sergey_fs Автор вопроса

krosh, [root@freeswitch ~]# cat /proc/sys/net/ipv4/ip_forward
1

Написано более трёх лет назад
sergey_fs @sergey_fs Автор вопроса

*filter
:INPUT DROP [2:80]
:FORWARD DROP [2:104]
:OUTPUT ACCEPT [7824:1650359]
:l - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4444 -j ACCEPT
COMMIT
# Completed on Sat Nov 11 19:57:24 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 19:57:24 2017
*nat
:PREROUTING ACCEPT [2:695]
:INPUT ACCEPT [1:655]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eno16777984 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --sport 22 -j SNAT --to-source 192.168.1.6:22
-A POSTROUTING -s 192.168.1.6/32 -p tcp -m tcp --sport 4444 -j SNAT --to-source 192.168.1.2:22
COMMIT
# Completed on Sat Nov 11 19:57:24 2017

Написано более трёх лет назад
sergey_fs @sergey_fs Автор вопроса

sergey_fs, krosh, внешней сети

Написано более трёх лет назад
mureevms @mureevms

sergey_fs, и не сработает ни чего, у Вас один интерфейс в системе, поэтому о роутинге речь вообще не идет. Просто используйте ssh клиента.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

CentOS

+1 ещё

Простой
Proftpd пустой лог proftpd.log?
- 1 подписчик
- 29 окт.
- 44 просмотра
0

ответов
Ubuntu

+2 ещё

Сложный
Как передать реальный IP при переадресации NAT с помощью iptables?
- 1 подписчик
- 14 сент.
- 254 просмотра
4

ответа
Сетевое администрирование

+1 ещё

Простой
Почему NFT блокирует соединение по FTP?
- 1 подписчик
- 17 авг.
- 218 просмотров
2

ответа
Сетевое администрирование

+1 ещё

Простой
Почему nft не блокирует IP?
- 1 подписчик
- 13 авг.
- 216 просмотров
1

ответ
Iptables

Простой
Как забанить список IP по первым двум числам?
- 3 подписчика
- 11 авг.
- 1773 просмотра
3

ответа
Linux

+4 ещё

Средний
SSTP сервер на Linux, как?
- 3 подписчика
- 07 июл.
- 2307 просмотров
3

ответа
Linux

+1 ещё

Простой
Не запускаетcя prometheus, почему застревает на этапе starting rule manager?
- 1 подписчик
- 15 июн.
- 127 просмотров
0

ответов
Linux

+3 ещё

Средний
Почему не пробрасывается трафик в туннель (tun-интерфейс)?
- 2 подписчика
- 10 июн.
- 464 просмотра
2

ответа
Linux

+4 ещё

Средний
Как установить расширение ext-intl на BitrixVM 9?
- 1 подписчик
- 29 мая
- 153 просмотра
1

ответ
1С-Битрикс

+1 ещё

Простой
Где посмотреть логи ошибок выпуска ssl сертификата для CentOS 9 stream?
- 1 подписчик
- 29 мая
- 119 просмотров
1

ответ
Показать ещё Загружается…

Системный администратор Linux

Abc staff • Москва

До 250 000 ₽

DevOps-инженер (СI/CD)

ЛСЦТ • Москва

от 280 000 ₽

Программист 1С

Газпром добыча Иркутск • Иркутск

от 150 000 до 180 000 ₽

cat /etc/sysconfig/iptables

*filter
:INPUT DROP [3:132]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12213:2627914]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8095 -j ACCEPT
-A INPUT -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 5090 -j ACCEPT
-A INPUT -p udp -m udp --dport 5080 -j ACCEPT
-A INPUT -p udp -m udp --dport 5085 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5060 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Nov 11 18:51:48 2017
# Generated by iptables-save v1.4.21 on Sat Nov 11 18:51:48 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.1.6/32 -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.2:22
-A POSTROUTING -d 192.168.1.2/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 192.168.1.6
COMMIT

Answer 1 · 2017-11-11 19:21:58

Не ясны условия, что и куда надо пробрасывать? Что не работает?
Но попробуйте решение из аналогичного вопроса: Настройки iptables для транзита на другой сервер?

В цепочке FORWARD надо и обратный (-s) трафик разрешать, сейчас у Вас только туда (-d), до 192.168.1.2, разрешено, а обратно - нет. По ссылке как раз есть два нужных, возможно в них все дело.

Просьба помочь с IPtables Forward?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт