@tamogavk
@deni4ka

Не работает проброс без правила сурснат?

Приветствую, всегда пробрасывал порты на убунте одним правилом прероутинга перенаправляя внешний порт на айпишник и порт внутреннего хоста. Сейчас понадобилось пробросить порт рдп для виндового сервера. Схема следующия: виндовый сервер находится в влане который описан на шлюзе с iptables на котором как раз и пробрасываю порт. Пишу следующее правило:
iptables -t nat -I PREROUTING -d 100.100.100.100 -p tcp --dport 5555 -j DNAT --to-destination 10.61.255.1:3389
. В итоге это не работаеет, в тспдампе просто видно подключение моего айпишника на порт который указан в прерутинге, но тсп не устанавливается.
В итоге сработало только если прописать правило:
Chain POSTROUTING (policy ACCEPT 576K packets, 44M bytes)
pkts bytes target prot opt in out source destination
6453 336K SNAT tcp -- * * 0.0.0.0/0 10.61.255.1 tcp dpt:3389 to:10.61.255.254

10.61.255.254 шлюз для сети виндового сервера, вопрос: почему проброс работает только с этим правилом? раньше хватало только одного правила прерутинга. Спасибо
  • Вопрос задан
  • 132 просмотра
Пригласить эксперта
Ответы на вопрос 1
vesper-bot
@vesper-bot
Любитель файрволлов
Забыли правило на фильтре для доступа извне. Нечто вроде iptables -A FORWARD -d 10.61.255.1 -p tcp --dport 3389 -j ACCEPT (можно ещё -m conntrack --ctstate NEW добавить, если охота). Ну либо у сервера нет маршрута в интернет, и он не знает, куда ему слать SYN/ACK с приходящим айпи типа 1.2.3.4.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы