Шлюз на Ubuntu - NAT+iptables - !Проброс портов!

@Vachutu · Регистрация: 20.11.2015

Студворк — интернет-сервис помощи студентам

Доброе утро коллеги! Столкнулся с такой проблемой, есть внутренняя сеть 192.168.0.0 и внешняя 172.172.0.0. Шлюз сделал на Ubuntu, установил настроил NAT + IPTABLES, теперь нужно пробросить рдп порт с внешнего адреса шлюза 172.172.0.1 на внутреннюю машину 192.168.0.2.

Если я настраиваю iptables так:

#Разрешаем входящие подключения на 3389
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT

# Форвардинг 3389
iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 172.172.0.1

То все прекрасно работает, я набираю в рдп клиенте 172.172.0.1:3389 и попадаю на внутренний адрес 192.168.0.2 на рдп порт.

Но как мне сделать проброс с порта например 1500 на шлюзе, на порт 3389 по внутреннему адресу???

Пробовал так:
#Разрешаем входящие подключения на 3389
iptables -A FORWARD -i eth0 -p tcp --dport 1500 -j ACCEPT

# Форвардинг 3389
iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 1500 -j DNAT --to-destination 192.168.0.2:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 1500 -j SNAT --to-source 172.172.0.1

И так:
#Разрешаем входящие подключения на 3389
iptables -A FORWARD -i eth0 -p tcp --dport 1500 -j ACCEPT

# Форвардинг 3389
iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 1500 -j DNAT --to-destination 192.168.0.2:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 172.172.0.1

Не получается (((( Подставлял внутренний адрес шлюза (вместо 172.172.0.1) во всевозможных вариантах, все равно не выходит. Что не так делаю, подскажите плз, второй день мучаюсь ).

@gng · 20.12.2015, 20:15

Сообщение от Vachutu

Не получается (((( Подставлял внутренний адрес шлюза (вместо 172.172.0.1) во всевозможных вариантах, все равно не выходит. Что не так делаю,

Bash
1
2
iptables -t nat -A PREROUTING -i ethXXX -p tcp -d 172.172.0.1 --dport 1500 -j DNAT --to-destination 192.168.0.2:3389
iptables -A FORWARD -p tcp -m tcp -d 192.168.0.2 --dport 3389 -j ACCEPT

1. Заворачиваем приходящие на 1500 внешние пакеты куда надо
2. Пропускаем их (эти завернутые пакеты) в цепочке ФОРВАРД фильтра
3. Всё. Правило SNAT лишнее
Так как речь идет о разных таблицах, порядок этих двух правил не существенен.

@Vachutu · 21.12.2015, 09:38 **[ТС]**

Спс заработало!

Новые блоги и статьи Все статьи Все блоги /
Мастер-класс по микросервисам на Node.js Reangularity 21.06.2025 Node. js стал одной из самых популярных платформ для микросервисной архитектуры не случайно. Его неблокирующая однопоточная модель и событийно-ориентированный подход делают его идеальным для. . .	Управление Arduino из WPF приложения Wired 21.06.2025 Зачем вообще связывать Arduino с WPF-приложением? Казалось бы, у Arduino есть собственная среда разработки, своя экосистема, свои способы управления. Однако при создании серьезных проектов. . .	Звёздная пыль kumehtar 20.06.2025 Я просто это себе представляю: как создавался этот мир. Как энергия слипалась в маленькие частички. Как они собирались в первые звёзды, как во вселенной впервые появился Свет. Как эти звёзды. . .	Создание нейросети с PyTorch AI_Generated 19.06.2025 Ключевое преимущество PyTorch — его питоновская натура. В отличие от TensorFlow, который изначально был построен как статический вычислительный граф, PyTorch предлагает динамический подход. Это. . .	JWT аутентификация в ASP.NET Core UnmanagedCoder 18.06.2025 Разрабатывая веб-приложения, я постоянно сталкиваюсь с дилеммой: как обеспечить надежную аутентификацию пользователей без ущерба для производительности и масштабируемости? Классические подходы на. . .
Краткий курс по С# aaLeXAA 18.06.2025 Здесь вы найдете все необходимые функции чтоб написать програму на C# Задание 1: КЛАСС FORM 1 public partial class Form1 : Form { Spisok listin = new Spisok(); . . .	50 самых полезных примеров кода Python для частых задач py-thonny 17.06.2025 Эффективность работы разработчика часто измеряется не количеством написаных строк, а скоростью решения задач. Готовые сниппеты значительно ускоряют разработку, помогают избежать типичных ошибок и. . .	C# и продвинутые приемы работы с БД stackOverflow 17.06.2025 Каждый . NET разработчик рано или поздно сталкивается с ситуацией, когда привычные методы работы с базами данных превращаются в источник бессонных ночей. Я сам неоднократно попадал в такие ситуации,. . .	Angular: Вопросы и ответы на собеседовании Reangularity 15.06.2025 Готовишься к техническому интервью по Angular? Я собрал самые распространенные вопросы, с которыми сталкиваются разработчики на собеседованиях в этом году. От базовых концепций до продвинутых. . .	Архитектура Onion в ASP.NET Core MVC stackOverflow 15.06.2025 Что такое эта "луковая" архитектура? Термин предложил Джеффри Палермо (Jeffrey Palermo) в 2008 году, и с тех пор подход только набирал обороты. Суть проста - представьте себе лук с его. . .

@Vachutu 0 / 0 / 0 Регистрация: 20.11.2015 Сообщений: 42

	Шлюз на Ubuntu - NAT+iptables - !Проброс портов! 19.12.2015, 10:05. Показов 5812. Ответов 2 Метки нет (Все метки) Доброе утро коллеги! Столкнулся с такой проблемой, есть внутренняя сеть 192.168.0.0 и внешняя 172.172.0.0. Шлюз сделал на Ubuntu, установил настроил NAT + IPTABLES, теперь нужно пробросить рдп порт с внешнего адреса шлюза 172.172.0.1 на внутреннюю машину 192.168.0.2. Если я настраиваю iptables так: #Разрешаем входящие подключения на 3389 iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT # Форвардинг 3389 iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 3389 -j DNAT --to-destination 192.168.0.2:3389 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 172.172.0.1 То все прекрасно работает, я набираю в рдп клиенте 172.172.0.1:3389 и попадаю на внутренний адрес 192.168.0.2 на рдп порт. Но как мне сделать проброс с порта например 1500 на шлюзе, на порт 3389 по внутреннему адресу??? Пробовал так: #Разрешаем входящие подключения на 3389 iptables -A FORWARD -i eth0 -p tcp --dport 1500 -j ACCEPT # Форвардинг 3389 iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 1500 -j DNAT --to-destination 192.168.0.2:3389 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 1500 -j SNAT --to-source 172.172.0.1 И так: #Разрешаем входящие подключения на 3389 iptables -A FORWARD -i eth0 -p tcp --dport 1500 -j ACCEPT # Форвардинг 3389 iptables -t nat -A PREROUTING -p tcp -d 172.172.0.1 --dport 1500 -j DNAT --to-destination 192.168.0.2:3389 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 172.172.0.1 Не получается (((( Подставлял внутренний адрес шлюза (вместо 172.172.0.1) во всевозможных вариантах, все равно не выходит. Что не так делаю, подскажите плз, второй день мучаюсь ). 0

@Vachutu 0 / 0 / 0 Регистрация: 20.11.2015 Сообщений: 42
	21.12.2015, 09:38 [ТС]
	Спс заработало! 0

Опции темы

Шлюз на Ubuntu - NAT+iptables - !Проброс портов!

Решение