[iptables] Tunelowanie portów

0

Serwer: ppp0 (internet - ip dynamiczne), eth0 (LAN - 192.168.0.1)
LAN: na eth0 (192.168.0.0/24)

Chcę, aby każde zapytanie kierowane do serwera (nie przez niego, tylko bezpośrednio do niego) na określonym zakresie portów było przekierowywane do komputera w LAN (192.168.0.2).

Stworzyłem coś takiego (to fragment większego skryptu)

iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 1024:65535 -j DNAT --to-destination 192.168.0.2

Niestety nie działa to jak trzeba, bo połączenia forwardowane przez serwer, używające tych portów, nie są w stanie wyjść z LAN do serwerów w internecie (być może nawet samo to przekierowanie portów nie działa - nie miałem czasu sprawdzić).

Niestety nie mogę zastosować filtrowania przez -i interfejs, bo przekierowane mają być zarówno połączenia z LAN i z internetu. Filtrowanie przez -d adres też odpada, bo adres na ppp0 (powiązany z domeną) jest dynamiczny.

W jaki więc sensowny sposób zrobić to przekierowanie?

0

wiem , ze tp dawno bylo, ale szukajc 'iptables tunelowanie' na googlu znalazlem link do tego watku na drugim, czy trzecim miejscu, tak wiec:

DPORT_DEST="80" #port docelowy w docelowym koncowym hoscie
DPORT_ROUT="44080" #port na routerze port wejsciowy tunelu
DEST="192.168.2.40" #docelowy koncowy host
ROUT="0/0"  #ip routera  opcja -d adres coelowy przychdzacych polaczen wejscie tunelu
SRCE="0/0"  #ip klienta/sieci laczacego sie z tunelem
ETHI="eth0" #interfejs od strony klienta wejscie tunelu
ETHO="eth1" #interfejs od strony hosta koncowego wyjscie tunelu

iptables -t nat -A PREROUTING -i $ETHI -s $SRCE -d $ROUT -p tcp --dport $DPORT_ROUT -j DNAT --to-destination $DEST:$DPORT_DEST
iptables -t nat -A POSTROUTING -o $ETHO -s $SRCE -d $DEST -p tcp --dport $DPORT_DEST -j MASQUERADE

to sa maksymalistyczne opcje, mozna oczywiscie -s/-d/-i itp pomijac

tunel dzial 2stopniowo: najpierw przychodzacy pakiet jest przerutowany do innego hosta i portu nastepnie maskarada dla odpowiedniego zrodla/celu/portu/itp podmienia ip zrodla na ip interfejsu konca tunelu, jesli tunel stoi na domyslnej bramie i tunelowane pakiety wracaja przez brame maskarada nie jest potrzebna

1 użytkowników online, w tym zalogowanych: 0, gości: 1