Первый сколько имеет сетевых интерфейсов? А адреса какие? ip addr покажите с первого и второго.
На втором какие правила файерволла? Локально с первого можете на второй по ssh зайти?
cat /proc/sys/net/ipv4/ip_forward тоже покажите на первом
iptables-save тоже не будет лишним
Сергей, важно, чтобы пакеты с Дебиана возвращались на него же, иначе схема с пробросом работать не будет. Пакеты могут уходить на шлюз по умолчанию, там и теряться.
Путь прохождения пакета зависит от конечной цели: локальный процесс (nginx) или удаленный хост (iptables-NAT). Но цепочки PREROUTING и POSTROUTING пакет проходит в лбом случае. Только разница в том что, когда пакет идет к ngix, то преобразования в этих цепочках не нужны, и мы их не используем, а когда пакет маршрутизируется дальше в сеть - вносим изменения.
Разница между nginx и iptables-NAT еще и в том, что первый работает как прокси, пакет не пересылает, а сам генерирует новый с запросом уже к WS. Второй - пакет остается, только меняются адреса в заголовке.
Используя nginx пишем правила для цепочек: INPUT. iptables-NAT - PREROUTING, POSTROUTING и FORWARD.
Если Вам нужно организовать доступ только веб-сервера (хоть и на нестандартном порту), то лучше все же изучить proxy_pass nginx'a. Тут есть бонус, можно в заголовке передавать реальный адрес источника, так что в логах вы будете видеть не просто ип-адрес роутера, а именно клиента, сделавшего запрос.
Кстати, надеюсь
cat /proc/sys/net/ipv4/ip_forward
показывает 1?
И проверьте файерволл на WS, чтобы он разрешал debian запросы на 9090.
Когда Вы прячете WS внутрь локальной сети, внешний интерфейс 33.33.33.33 остается активным?
Какой маршрут по умолчанию на WS?
Какой смысл подменять адрес на 192.168.1.150?
Покажите полностью цепочку FORWARD.
Matt Nakov, что за SSH DNS? Получилось вполне обычно: dnsmasq был dns-сервером, который прописан на клиентах локальной сети, а проходящий трафик просто блокировался.
В resolv.conf сервера, которые я прописал. Там что хотите может быть прописано, у меня там наверное адрес моего роутера был указан для простоты работы.
dnata, я тут повнимательней посмотрел на вопрос. Тут дело не в методе сканирования, а в настройках МЭ на хосте сканера, либо в неправильной установке npcap.
Денис Сечин, может у Вас прокси прозрачный настроен? Правило стоит выше в цепочке, поэтому обрабатывается первjй. Поэтому я и написал изначально команду -I - вставка в цепочку, и когда она идет без номера, то правило вставляется в самое начало.
Какой смысл проверять состояние пакета, если нужно запретить весь трафик? Надо убрать этот критерий.
Максим Гришин: сертификат является именно корневым и если руками его ставить в правильное хранилище, то потом сертификаты пользователей правильно работают и система им доверяет, все как и нужно. Какие поля в сертификате отвечают за его тип, есть такие?
SysUtils: Спасибо за добрые слова. Это важные слова на таком и подобных Тостеру сервисах.
Нет, я не где не учился теме сис. администрирования и сетям. Текущие знания вычитал сам и получил опытным путем. Ранее я решал задачку с Redsocks, поэтому был немного в теме.
ip a
ip r s
cat /proc/sys/net/ipv4/ip_forward
Проброс должен работать при доступе из внешней или локальной сети?