https://www.opennet.me/openforum/vsluhforumID1/94518.html Здравствуйте!<br>Пытаюсь реализовать такую связку:<br><br>INET -&gt; 11.22.33.44-OpenWRT-192.168.254.254 -&gt; 192.168.254.200-CentOS-192.168.153.253 -&gt; 192.168.253.110-Win2003<br><br>Пытаюсь проверить доступность порта 8080 из инета, результат - порт закрыт..<br>На Win2003 открыт порт 8080 и разрешён в брандмауэре.<br>На CentOS iptables<br>На OpenWRT iptables<br><br>Цепочку прохождения вижу так:<br>На OpenWRT правила:<br>-A PREROUTING -i pppoe-wan -j zone_wan_prerouting -A zone_wan_prerouting -d 11.22.33.44/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.254.200:8080<br>-A FORWARD -j forward<br>-A forward -i pppoe-wan -j zone_wan_forward -A zone_wan_forward -d 192.168.254.200/32 -p tcp -m tcp --dport 8080 -j ACCEPT<br><br>На CentOS правила:<br>-A PREROUTING -d 192.168.254.200 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.253.110:8080<br>-A FORWARD -d 192.168.253.110 -p tcp -m tcp --dport 8080 -j ACCEPT<br><br>На Win2003 разрешения есть для входящих соединений на 8080 порт<br><br>На CentOs правила:<br>-A FORWARD -m state --state RE https://www.opennet.me/openforum/vsluhforumID1/94518.html#5 Tue, 26 Mar 2013 20:44:03 GMT Хе-хе.. <br>Можно не отвечать.. :) Ступил..<br> https://www.opennet.me/openforum/vsluhforumID1/94518.html#4 Tue, 26 Mar 2013 13:58:16 GMT &gt; tcpdump на 188.40.74.10 смотрели?<br>&gt; попробуйте в сторону 188.40.74.10 отправлять пакеты и смотрите дошли они, например с <br>&gt; помощью traceproto с CentOS&#124;OpenWRT <br>&gt;&gt; Можно какую-нибудь информацию почерпнуть в более развёрнутом tcpdump-е?<br>&gt; пакеты не большие что бы упереться в mtu, а там хз что за каналы <br><br>Интересная ситуация получается!<br>Сейчас попробовал с удалённого компьютера (через vnc) подключиться на адрес 11.22.33.44:8080 с обычного браузера, как оно и должно, по-идее работать и одновременно запустил везде tcpdump (windump). Вот чего получилось:<br>На удалённом компьютере (192.168.10.104, windump)<br>192.168.10.104.2708 &gt; 11.22.33.44.8080: S ...bla..bla..bla...............<br>192.168.10.104.2709 &gt; 11.22.33.44.8080: S ....bla.. bla..bla..............<br>192.168.10.104.2708 &gt; 11.22.33.44.8080: S ....bla...bla..bla.............<br><br>На шлюзе (DFL-210), который смотрит в интернет в той сети, вижу соединения:<br>Состояние Proto (Первичный) Источник Назначение Таймаут <br>SYN_RCVD TCP la https://www.opennet.me/openforum/vsluhforumID1/94518.html#3 Tue, 26 Mar 2013 12:26:00 GMT &gt;[оверквотинг удален]<br>&gt; IP 11.22.33.44.8080 &gt; 188.40.74.10.42628: Flags [S.], seq 1900179200, ack 2672373477, <br>&gt; win 16384, options [mss 1452,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length <br>&gt; 0 <br>&gt; IP 188.40.74.10.42628 &gt; 11.22.33.44.8080: Flags [S], seq 2672373476, win 5840, options <br>&gt; [mss 1460,sackOK,TS val 604275249 ecr 0,nop,wscale 9], length 0 <br>&gt; IP 11.22.33.44.8080 &gt; 188.40.74.10.42628: Flags [S.], seq 1900179200, ack 2672373477, <br>&gt; win 16384, options [mss 1452,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length <br>&gt; 0 <br>&gt;&gt; два пакета 11.22.33.44.8080 &gt; 188.40.74.10.36930 - до 188.40.74.10 не дошел ответ?<br>&gt; Да, почему-то ответ до 188.40.74.10 не доходит :( <br><br>tcpdump на 188.40.74.10 смотрели?<br>попробуйте в сторону 188.40.74.10 отправлять пакеты и смотрите дошли они, например с помощью traceproto с CentOS&#124;OpenWRT<br><br>&gt; Можно какую-нибудь информацию почерпнуть в более развёрнутом tcpdump-е?<br><br>пакеты не большие что бы упереться в mtu, а там хз что за каналы<br><br> https://www.opennet.me/openforum/vsluhforumID1/94518.html#2 Tue, 26 Mar 2013 11:46:55 GMT Здравствуйте!<br><br>&gt;&gt; На CentOs правила: <br>&gt;&gt; -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt;&gt; -A POSTROUTING -s $LAN_1_NET -o $WAN_1 -j SNAT --to-source $WAN_1_IP <br>&gt; зачем тут snat?<br>&gt; На OpenWRT добавте маршрут до 192.168.153.253 -&gt; 192.168.253.110 и на OpenWRT делайте <br>&gt; проброс сразу на 192.168.253.110:8080 <br><br>Согласен, так проще.. <br>Добавил маршрут до 192.168.253.110 (win2003) через 192.168.254.200 (Внешний IP CentOS-а), это позволило убрать SNAT на CentOS.. Теперь при проверке доступности порта на 192.168.253.110:8080 nmap-ом с OpenWRT - он открыт:<br><br>root@OpenWrt:~# nmap -sT -p 8080 192.168.253.110<br>Starting Nmap 5.51 ( http://nmap.org ) at 2013-03-26 14:41 MSK<br>Nmap scan report for 192.168.253.110<br>Host is up (0.00094s latency).<br>PORT STATE SERVICE<br>8080/tcp open http-proxy<br><br>Но при проверке снаружи - закрыт..<br>root@OpenWrt:~# tcpdump -tn -i pppoe-wan port 8080<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on pppoe-wan, link-type LINUX_SLL ( https://www.opennet.me/openforum/vsluhforumID1/94518.html#1 Tue, 26 Mar 2013 07:27:10 GMT &gt;[оверквотинг удален]<br>&gt; -A forward -i pppoe-wan -j zone_wan_forward -A zone_wan_forward -d 192.168.254.200/32 <br>&gt; -p tcp -m tcp --dport 8080 -j ACCEPT <br>&gt; На CentOS правила: <br>&gt; -A PREROUTING -d 192.168.254.200 -p tcp -m tcp --dport 8080 -j DNAT <br>&gt; --to-destination 192.168.253.110:8080 <br>&gt; -A FORWARD -d 192.168.253.110 -p tcp -m tcp --dport 8080 -j ACCEPT <br>&gt; На Win2003 разрешения есть для входящих соединений на 8080 порт <br>&gt; На CentOs правила: <br>&gt; -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt; -A POSTROUTING -s $LAN_1_NET -o $WAN_1 -j SNAT --to-source $WAN_1_IP <br><br>зачем тут snat? <br>На OpenWRT добавте маршрут до 192.168.153.253 -&gt; 192.168.253.110 и на OpenWRT делайте проброс сразу на 192.168.253.110:8080<br><br>&gt;[оверквотинг удален]<br>&gt; машине. При проверке снаружи - открыт..<br>&gt; Проверка nmap-ом с OpenWRT показывает, что порт 8080 на CentOS открыт: <br>&gt; root@OpenWrt:/lib/firewall# nmap -sT -p 8080 192.168.254.200 <br>&gt; Starting Nmap 5.51 ( http://nmap.org ) at 2013-03-26 03:10 MSK <br>&gt; Nmap scan r