Не работает проброс без правила сурснат?

Question

[Денис Сечин]

Приветствую, всегда пробрасывал порты на убунте одним правилом прероутинга перенаправляя внешний порт на айпишник и порт внутреннего хоста. Сейчас понадобилось пробросить порт рдп для виндового сервера. Схема следующия: виндовый сервер находится в влане который описан на шлюзе с iptables на котором как раз и пробрасываю порт. Пишу следующее правило:

iptables -t nat -I PREROUTING -d 100.100.100.100 -p tcp --dport 5555 -j DNAT --to-destination 10.61.255.1:3389

. В итоге это не работаеет, в тспдампе просто видно подключение моего айпишника на порт который указан в прерутинге, но тсп не устанавливается.
В итоге сработало только если прописать правило:

Chain POSTROUTING (policy ACCEPT 576K packets, 44M bytes)
pkts bytes target prot opt in out source destination
6453 336K SNAT tcp -- * * 0.0.0.0/0 10.61.255.1 tcp dpt:3389 to:10.61.255.254

10.61.255.254 шлюз для сети виндового сервера, вопрос: почему проброс работает только с этим правилом? раньше хватало только одного правила прерутинга. Спасибо

Comments

[Дмитрий Шицков]

Уточните, а в tcpdump вы видите исходящие пакеты в сторону WIndows-сервера?

У Windows-сервер gateway тот же самый шлюз, на котором натится пакет?

[Денис Сечин]

Дмитрий Шицков, в дампе вижу исходящие пакеты на белый адрес шлюза, у виндовс сервера шлюз 10.61.255.254 соответственно для подсети 10.61.255.0/24 есть правило:

276K 18M SNAT all -- * eth0 10.61.255.0/24 !10.61.255.0/24 to:100.100.100.100

Answer 1

[Максим Гришин]

Забыли правило на фильтре для доступа извне. Нечто вроде iptables -A FORWARD -d 10.61.255.1 -p tcp --dport 3389 -j ACCEPT (можно ещё -m conntrack --ctstate NEW добавить, если охота). Ну либо у сервера нет маршрута в интернет, и он не знает, куда ему слать SYN/ACK с приходящим айпи типа 1.2.3.4.

Comments

[Денис Сечин]

В фильтре правило стояло, я его здесь просто не указал это первое. Второе, вот правило для подсети сервера:

276K 18M SNAT all -- * eth0 10.61.255.0/24 !10.61.255.0/24 to:100.100.100.100