Почему не работает проброс порта для GIT?

Question

[Andrey Kamynin]

[Решено]
Здравствуйте!

Подскажите, пожалуйста, что не учел (или что делаю не так)?
Хотим пробпросить порт до установленного локально git с репозиториями через промежуточный хост (прокси) - такая архитектура.
На прокси наружу открыт входящий порт 443, на GIT открыт порт 2222 (на котором работает git)
Из локальной сети работает строка подключения к git: ssh://gitlogin@[local_ip]:2222/[gitcatalogPath]
Планировал с помощью port forwarding добиться проброса из инета такого подключения (напрямую к git нельзя).

После применения нижеописанных правил доступ из-вне не проходит.
Если указать ssh, то:

ssh://gitlogin@[public_ip]:443/[gitcatalogPath]
Could not read from remote repository.

Если указать https, то:

https://gitlogin@[public_ip]:443/[gitcatalogPath]
unable to access 'https://[public_ip]:443/[gitcatalogPath]': Failed to connect to public_ip port 443: Timed out

Мои настройки Firewalld:
// Включить маскарадинг
sudo firewall-cmd --zone=public --add-masquerade
// Добавить проброс порта

sudo firewall-cmd --permanent --zone=external --add-forward-port=port=443:proto=tcp:toport=2222:toaddr=[local_ip]

Настройки:

firewall-cmd --permanent --list-all --zone=public
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: cockpit dhcpv6-client http https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
        port=443:proto=tcp:toport=2222:toaddr=[local_ip]
  source-ports:
  icmp-blocks:
  rich rules:

Исходя из этого, прошу совета:
1. Что упустил?
2. Нет ли в Centos дополнительной опции активации port-forwarding как в debianLike системах?

UPD: Решено.
Сам дурак)
1. Centos 8.3 с firewalld не нужна настройка форварда sysctl -w net.ipv4.ip_forward=1 (по крайней мере в моем случае, но, думаю тому, кто будет себе такое проворачивать можно и включить, насколько понимаю возможны траблы и из-за нее).
2. Перенес интерфейс и правила в зону external.
3. На всяяяякий случай зону external установил по дефолту (но это не обязательно).
4. Глаз замылился, указал неверно IP сервера с Git.
После этих правок получен доступ к репозиторию с промежуточного хоста. Ура!

Comments

[Sand]

telnet [public_ip] 443?

[Vitsliputsli]

Судя по ответу он подключается, но не может найти указанный реп. Попробуйте посмотреть, что напишет:
git remote -v

Зачем, вы подключаетесь по https,если настраивали только ssh? Да и странно это, на стандартный порт https настраивать ssh.

[Alexey Dmitriev]

ПО вопросу о forwarding - в ядре Linux есть опция включения форварда пакетов между интерфейсами - включается через sysctl.

[Дмитрий]

ну тут много вопросов. вот эти игры с firewalld - они где происходят ? на прокси?
если да, то вот эта опция для ядра включена - /proc/sys/net/ipv4/ip_forward ? там должно быть "1" .
второй вопрос. этот прокси является для указанной сети маршрутом по умолчанию? другими словами, когда с прокси к гиту приходит трафик от клиента из внешней сети, куда гит отсылает ответы?

[Andrey Kamynin]

Alexey Dmitriev, Дмитрий, спасибо, обновил вопрос (добавлено решение), в моем случае эта настройка не была нужна.