Как сделать SNAT port forwarding на iptables или на shorewall?

Question

[Талян]

Всем привет.

Подскажите что делаю не так.
У меня на дебиане интерфейсы:
ens18 ip 192.168.1.125/24 - локалка серверов 192.168.1.0/24
ens19 смотрит в интернет A.B.C.D/24 белый IP
ens20 ip 192.168.10.250 смотрит в локалку телефонии 192.168.10.0/24

История:

После перезагрузки нашего компа-шлюза в офисе у нас потерял доступ к сети телефонии чувак, который обслуживает АТСку в подсети 192.168.10.3. Все правила были настроены shorewall'ом. Шлюз стоял без перезагрузки миллион лет, и скорее всего 10 поколений работников назад кто-то вручную влепил в сформированные шореволлом правила iptables правила перенаправления внешнего порта A.B.C.D:4890 на 192.168.10.3:4899 для RAdmin.

Шлюз перезагрузился после длительного отсутствия питания в электросети. Теперь все работает кроме RAdmin извне.

Я делаю вроде бы правильно (на тестовой виртуалке где нет больше никаких правил, и где всё ACCEPT:

iptables -A FORWARD -j ACCEPT
iptables -t nat -A PREROUTING -d A.B.C.D/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.10.3:4899
iptables -t nat -A POSTROUTING -d 192.168.10.3/32 -o ens20 -p tcp -m tcp --dport 4899 -j SNAT --to-source A.B.C.D

Но нифига не работает.
Если с левого внешнего ip сделать
nmap A.B.C.D -p4899
То показывает
4899 RAdmin <b>filtered</b>
То бишь я получаю REJECT
Мало того, после применения данных правил, даже с самого шлюза я получаю filtered на этом порту у АТСки, хотя до применения правил статус opened.

Не понимаю я в чем дело.

Answer 1

[galaxy]

iptables -t nat -A POSTROUTING -d 192.168.10.3/32 -o ens20 -p tcp -m tcp --dport 4899 -j SNAT --to-source A.B.C.D

Это не надо.

Comments

[Талян]

Спасибо. Все равно беда - filtered. И я вообще не понимаю почему. На компе 192.168.10.3 винда без файроволов и прочего, порт 4899 слушает все интерфейсы

[galaxy]

tcpdump запустите на шлюзе

[Талян]

galaxy, а там особо ничего понятного кроме чтого что пакеты реджектятся:

Делаю с другого сервера:

tcpdump -i ens19 -s0 ip src белый_ip_сервера -vv
tcpdump: listening on ens19, link-type EN10MB (Ethernet), capture size 262144 bytes
21:50:28.356025 IP (tos 0x10, ttl 64, id 12989, offset 0, flags [DF], proto TCP (6), length 60)
    белый_ip_сервера.34860 > белый_ip_шлюза.radmin-port: Flags [S], cksum 0xdbc0 (incorrect -> 0x4373), seq 2559544667, win 29200, options [mss 1460,sackOK,TS val 1124315820 ecr 0,nop,wscale 7], length 0
21:50:29.384597 IP (tos 0x10, ttl 64, id 12990, offset 0, flags [DF], proto TCP (6), length 60)
    белый_ip_сервера.34860 > белый_ip_шлюза.radmin-port: Flags [S], cksum 0xdbc0 (incorrect -> 0x3f6e), seq 2559544667, win 29200, options [mss 1460,sackOK,TS val 1124316849 ecr 0,nop,wscale 7], length 0
21:50:31.400663 IP (tos 0x10, ttl 64, id 12991, offset 0, flags [DF], proto TCP (6), length 60)
    белый_ip_сервера.34860 > белый_ip_шлюза.radmin-port: Flags [S], cksum 0xdbc0 (incorrect -> 0x378e), seq 2559544667, win 29200, options [mss 1460,sackOK,TS val 1124318865 ecr 0,nop,wscale 7], length 0
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Коннектился телнетом на порт 4899, так как под рукой нет ноута или компа с внешним ip, ибо у меня дома волокно с работы с VLANом офисной локалки

[galaxy]

вы лучше по всем интерфейсам сделайте, чтобы видеть куда они дальше ходят
tcpdump -i any -nn -vv tcp and port 4899

[Талян]

galaxy, там жопа вылезет. Там целая подсеть абонентов, и милиярд ARPов. Я лучше сейчас для вирешарка дамп сделаю, да скриншот выложу)