Автор Тема: Проброс портов внутрь сети (Прочитано 17963 раз)

Const · « **Ответ #60 :** 20.04.2011 15:55:14 »

Вы же видите, что правила у меня и у вас отличаются несколько?
Мои работают, я скопировал со шлюза живое действо, только адреса поменял.

Belua · « **Ответ #61 :** 20.04.2011 17:11:38 »

извините, не тот файл вставил. выложу лучше выводы iptables -L

Код: [Выделить]

Chain INPUT (policy ACCEPT 239 packets, 31547 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  -f  any    any     anywhere             anywhere            
  519 80053 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
  539 48153 ULOG       all  --  any    any     anywhere             anywhere            ULOG copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50 
    0     0 ACCEPT     icmp --  eth1   any     anywhere             anywhere            
  300 16606 DROP       all  --  eth1   any     anywhere             anywhere            

Chain FORWARD (policy ACCEPT 2 packets, 210 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  -f  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    2   210 ULOG       all  --  any    any     anywhere             anywhere            ULOG copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50 
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             172.21.255.234      tcp dpt:http 
    0     0 ACCEPT     all  --  eth1   any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 DROP       all  --  eth1   any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 63 packets, 3159 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  -f  any    any     anywhere             anywhere            
  534  144K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED

Код: [Выделить]

Chain PREROUTING (policy ACCEPT 789 packets, 62856 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  any    any     anywhere             mydom.ru   tcp dpt:http to:172.21.255.234:80 

Chain OUTPUT (policy ACCEPT 52 packets, 2822 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   53  2927 MASQUERADE  all  --  any    eth1    anywhere             anywhere

Const · « **Ответ #62 :** 20.04.2011 18:14:02 »

Вы обратили внимание, что у вас цепочка forward начинается с drop?

Belua · « **Ответ #63 :** 21.04.2011 10:06:48 »

Спасибо! Причина - моя невнимательность. Проблема была в одном недостающем дефисе у параметра, из за которого правило не применялось. Если интересно, вот результат.

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ULOG       all  --  anywhere             anywhere            ULOG copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50 
ACCEPT     icmp --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ULOG       all  --  anywhere             anywhere            ULOG copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50 
ACCEPT     tcp  --  anywhere             172.21.255.234      tcp dpt:http 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  -f  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ULOG       all  --  anywhere             anywhere            ULOG copy_range 48 nlgroup 1 prefix `ocount' queue_threshold 50

Код: [Выделить]

Chain PREROUTING (policy ACCEPT 513 packets, 44434 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   244 DNAT       tcp  --  any    any     anywhere             mydom.ru   tcp dpt:http to:172.21.255.234 

Chain OUTPUT (policy ACCEPT 201 packets, 10559 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  any    any     anywhere             mydom.ru   tcp dpt:http to:172.21.255.234 

Chain POSTROUTING (policy ACCEPT 5 packets, 244 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  211 11387 MASQUERADE  all  --  any    eth1    anywhere             anywhere

Const · « **Ответ #64 :** 21.04.2011 10:18:23 »

Ну, не то, чтоб сильно интересно.. Я-ж вам заведомо рабочее, активно мной используемое, правило давал ;)

Belua · « **Ответ #65 :** 21.04.2011 10:43:55 »

Это да. Но уже на принцип пошел, какого ... не работает то, что, по моему разумению, должно работать.

Форум сообщества
Альт Линукс