Добрый день. Есть шлюз на Ubuntu Server 10.04. Стоит задача пробпросить порт на IP-камеру внутри сети. Условия:
eth0 - внешний интерфейс
eth1 - внутренний
10.100.10.150 - внутренний IP камеры
188.163.192.178 - внешний IP шлюза
8000 - порт для пробросаСоответствующие правила добавил, но результата не получил. Ниже вывод iptables-save. Подскажите, куда копать и что подправить.
# Generated by iptables-save v1.4.4 on Wed Jan 29 11:36:35 2014
*mangle
:PREROUTING ACCEPT [12658249:9894759752]
:INPUT ACCEPT [6485360:5436368592]
:FORWARD ACCEPT [6172678:4458381891]
:OUTPUT ACCEPT [6899629:5486552867]
:POSTROUTING ACCEPT [13062408:9944261107]
COMMIT
# Completed on Wed Jan 29 11:36:35 2014
# Generated by iptables-save v1.4.4 on Wed Jan 29 11:36:35 2014
*nat
:PREROUTING ACCEPT [209568:20457546]
:POSTROUTING ACCEPT [128551:8441493]
:OUTPUT ACCEPT [138678:9183467]
-A PREROUTING -d 188.163.192.178/32 -i eth1 -p tcp -m multiport --dports 80,8080 -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d 188.163.192.178/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 10.100.10.150:8000
-A POSTROUTING -s 10.100.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 10.100.10.150/32 -p tcp -m tcp --dport 8000 -j SNAT --to-source 188.163.192.178
COMMIT
# Completed on Wed Jan 29 11:36:35 2014
# Generated by iptables-save v1.4.4 on Wed Jan 29 11:36:35 2014
*filter
:INPUT DROP [83597:8761067]
:FORWARD DROP [63:3416]
:OUTPUT DROP [10133:742247]
:ssh_brute_check - [0:0]
-A INPUT -p icmp -f -j DROP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID,NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 10.100.10.0/24 -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ssh_brute_check
-A INPUT -s 10.100.10.0/24 -i eth1 -p tcp -m multiport --dports 25,53,110,137,138,139,445,631,953,3128,80,8080,993,995,443 -j ACCEPT
-A INPUT -s 10.100.10.0/24 -i eth1 -p udp -m multiport --dports 53,67,68,123,137,138,139,445,631,953 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3390 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT
-A INPUT -s 10.100.40.0/24 -p tcp -j ACCEPT
-A INPUT -s 10.100.40.0/24 -p udp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.100.10.0/24 -i tun0 -o eth1 -j ACCEPT
-A FORWARD -s 10.100.10.0/24 -i eth1 -o tun0 -j ACCEPT
-A FORWARD -d 10.100.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.100.10.0/24 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 8000 -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 10.100.10.0/24 -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -d 10.100.10.0/24 -o eth1 -p tcp -m multiport --sports 25,53,110,137,138,139,445,631,953,3128,80,8080,993,995,443 -j ACCEPT
-A OUTPUT -d 10.100.10.0/24 -o eth1 -p udp -m multiport --sports 53,67,68,123,137,138,139,445,631,953 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 110 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 8080 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 3389 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 3390 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 5000 -j ACCEPT
-A OUTPUT -d 10.100.40.0/24 -p tcp -j ACCEPT
-A OUTPUT -d 10.100.40.0/24 -p udp -j ACCEPT
-A ssh_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 600 --hitcount 3 --name DEFAULT --rsource -j LOG --log-level 6
-A ssh_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 600 --hitcount 3 --name DEFAULT --rsource -j DROP
-A ssh_brute_check -m recent --set --name DEFAULT --rsource -j ACCEPT
COMMIT
# Completed on Wed Jan 29 11:36:35 2014
Вариант для распечатки
