Firewalld почему не пробрасывается порт?

Question

[HighMan]

Доброго времени, товарищи!
Что-то не могу сообразить с пробросом порта в firewalld. Вроде все правильно, но не работает :)

#cat /proc/sys/net/ipv4/ip_forward
1
# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp6s0
  sources: 
  services: dhcpv6-client
  ports: 22/tcp
  protocols: 
  masquerade: yes
  forward-ports: port=7000:proto=tcp:toport=3389:toaddr=192.168.13.168
  source-ports: 
  icmp-blocks: 
  rich rules:

Вроде, маскардинг включен и при обращении на порт сервера 7000 должен происходить проброс порта на 192.168.13.168:3389. Т..е. на rdp, но не работает. Подскажите, что я сделал не правильно?
Заранее благодарен.

Answer 1

[Дмитрий]

а 192.168.13.168 знает куда надо отправлять пакетик обратно? маршрут до клиента у него есть? если выше картинка не с default gateway , то надо еще и SNAT правило добавлять.

Answer 2

[HighMan]

Я приношу свои извинения, что вопрос поставлен более чем обще. Уточню.
Есть некий арендованный сервер, пусть его ip=1.1.1.1.
На нем стоит Centos7. Этот сервер тащит несколько виртуальных машин (qemu-kvm, libvirt).
Виртуальные машины живут за NAT, адресный диапазон: 192.168.13.0/24 (virbr0)
Виртуальные машины могут выходить в интернет и у них, на текущий момент, это хорошо получается.
Мне нужно пробросить порт из интернет в "локальную сеть" для виртуальной машины 192.168.13.168 (1.1.1.1:7000 -> 192.168.13.168:3389).
Само правило, вроде написано верно, но я похоже что-то не доделал с зонами. Пока я ковырял только зону public, а в ней единственный интерфейс enp6s0.

# firewall-cmd --list-all-zones
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

drop
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

external
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

internal
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp6s0
  sources: 
  services: dhcpv6-client ssh
  ports: 219/tcp
  protocols: 
  masquerade: yes
  forward-ports: port=7000:proto=tcp:toport=3389:toaddr=192.168.13.168
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

trusted
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

work
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Я подозреваю, что для проброса порта нужно что-то доделать с зонами. На мой взгляд, в какую-то зону нужно добавить virbr0.
Но тут я потерялся. Все таки для меня firewalld - штука малознакомая.
Так что: Help!
Нет. Не так.
Heeeeelp me please!!!!)