Как пробросить трафик по порту без подмены ip адреса?

Question

[vipvipvipvipvipvipvipvip]

Всем привет!

Задача пробросить весь трафик по порту на другой хост, без подмены ip адреса.
Стоит машинка, смотрит наружу, на ней CentOS 7.
В сети есть другая машинка на нее надо направить весь трафик с внешних хостов по определенному порту, при этом, что бы ip адреса этих хостов оставались внешними, без подмены на локальные.

Пытаюсь делать через iptables:
-A PREROUTING -p tcp -i eth1 --dport 5555 -j DNAT --to-destination 192.168.0.1:5555

Получаю локальный ip адрес машинки с CentOS 7.
Экспериментировал по разному с iptables, socat не получается.

Нужна помощь в решении или направления поиска решения.

Comments

[vipvipvipvipvipvipvipvip]

Делаем так в nat
-A PREROUTING -p tcp -i eth1 --dport 5555 -j DNAT --to-destination 192.168.0.1:5555

Добавляем FORWARD в filter
-A FORWARD -i eth1 -o eth0 -d 192.168.0.1 - tcp --dport 5555 -j ACCEPT

Конечно зависит от Вашей конкретной организации сети. На машинку внутри сети трафик от хостов заворачивается без подмены IP.

Answer 1

[ky0]

Потому что вам нужен не DNAT в PREROUTING, а FORWARD. Гуглите именно его.

Comments

[Alexey Dmitriev]

Для FORWARD нужна маршрутизация.

[vipvipvipvipvipvipvipvip]

Помогло

Answer 2

[iddqda]

DNAT подменяет Destination address и не трогает Source
т.е. вроде все правильно делаешь.
но судя по симптомам, где то у тебя в правила iptables прокрался SNAT и/или маскарадинг

Comments

[vipvipvipvipvipvipvipvip]

Все верно, еще раз перечитал справку, делал правильно