ubuntu iptables NAT & amp; Router & amp; Перенаправление порта
Я хотел бы переслать ssh-порт с ubuntu-fw (firewall) на ubuntu-server1.
| Интернет | --- | Маршрутизатор (аппаратное обеспечение) | --- | ubuntu-fw | ---- | ubuntu-server1 |
Маршрутизатор (аппаратное обеспечение): Fritz-Box
ubuntu-fw: ubuntu 16, служащий в качестве брандмауэра
ubuntu-server1: ubuntu 16, служащий как ssh server
Маршрутизатор (аппаратное обеспечение) переводит порт в ubuntu-fw. Однако в целях тестирования я разместил компьютер между:
| test-pc | --- | ubuntu-fw | ---- | ubuntu-server1 |
Теперь я хотел бы получить доступ с test-pc к моему ubuntu-server1 через ubuntu-fw, используя:
ssh myuser@ubuntu-server1
Топология сети выглядит следующим образом :
test-pc: 192.168.183.253/24
ubuntu-fw: eth0: 192.168.0.254/24 & amp; eth2: 192.168.183.254/24
ubuntu-server: 192.168.0.16/24
Мой вопрос в том, как я должен переслать порт 22 в ubuntu-fw?
Я включил маршрутизацию:
$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
Я также создал правило, которое позволяет ubuntu-server1 подключаться к Интернету с помощью ubuntu-fw в качестве NAT. Это прекрасно работает. Но я не могу, если я хочу перенаправить порт 22 на ubuntu-server1.
Чтобы сгенерировать скрипт iptables, я использую fwbuilder.
Я создал правило nat, в результате чего ( после компиляции): Изображение правила NAT fwbuilder
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.183.254 --dport 22 -j DNAT --to-destination 192.168.0.16
, и я создал политику, приводящую к (после компиляции): Изображение правила NAT fwbuilder
$IPTABLES -A FORWARD -i eth2 -p tcp -m tcp -d 192.168.0.16 --dport 22 -m state --state NEW -j ACCEPT
Когда я пытаюсь установить соединение с test-pc, я вижу:
ssh: connect to host 192.168.183.254 port 22: Connection timed out
Кто-нибудь знает, что я делаю неправильно?
Вот результат iptables -v -x -n -L
Chain INPUT (policy DROP 417 packets, 49211 bytes)
pkts bytes target prot opt in out source destination
28201 2294981 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 60 In_RULE_1 tcp -- eth0 * 192.168.0.0/24 192.168.0.254 tcp dpt:22 state NEW
0 0 In_RULE_2 tcp -- eth0 * 192.168.0.0/24 0.0.0.0/0 tcp multiport dports 21,80,443 state NEW
0 0 In_RULE_5 all -- eth2 * 0.0.0.0/0 192.168.183.254
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3071 2805588 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 104 In_RULE_2 tcp -- eth0 * 192.168.0.0/24 0.0.0.0/0 tcp multiport dports 21,80,443 state NEW
7 420 ACCEPT tcp -- eth2 * 0.0.0.0/0 192.168.0.16 tcp dpt:22 state NEW
Chain OUTPUT (policy DROP 8 packets, 480 bytes)
pkts bytes target prot opt in out source destination
15619 310844265 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 Out_RULE_0 tcp -- * eth2 192.168.183.254 0.0.0.0/0 tcp multiport dports 80,443 state NEW
Chain In_RULE_1 (1 references)
pkts bytes target prot opt in out source destination
1 60 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "RULE 1 -- ACCEPT "
1 60 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain In_RULE_2 (2 references)
pkts bytes target prot opt in out source destination
2 104 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "RULE 2 -- ACCEPT "
2 104 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain In_RULE_5 (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "RULE 5 -- DENY "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain Out_RULE_0 (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "RULE 0 -- ACCEPT "
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
И вывод sudo iptables -t nat -v -x -n -L:
Chain PREROUTING (policy ACCEPT 1049 packets, 207739 bytes)
pkts bytes target prot opt in out source destination
1 60 DNAT tcp -- * * 0.0.0.0/0 192.168.183.254 tcp dpt:22 to:192.168.0.16
Chain INPUT (policy ACCEPT 3 packets, 180 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 22 packets, 1308 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 1 packets, 60 bytes)
pkts bytes target prot opt in out source destination
2 104 SNAT all -- * eth2 192.168.0.0/24 0.0.0.0/0 to:192.168.183.254
Поскольку у меня есть многие другие политики, которые нужно добавить, я хотел бы использовать fwbuilder - также для правила NAT.
Вот вывод tcpdump sudo tcpdump -n -tttt -i eth2 port 22:
2017-04-21 20:07:01.745154 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84033839 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:02.745098 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84034089 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:04.747111 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84034590 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:08.756022 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84035592 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:16.767457 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84037596 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:32.778145 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84041600 ecr 0,nop,wscale 6], length 0
2017-04-21 20:08:04.829078 IP 192.168.183.253.33774 > 192.168.183.254.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84049616 ecr 0,nop,wscale 6], length 0
и из sudo tcpdump -n -tttt -i eth0 port 22 | grep -v 192.168.0.47 (на самом деле 192.168.0.47 мой компьютер с использованием ssh для 192.168.183.254 и 192.168.183.253 с использованием другого маршрутизатора в эту сеть)
2017-04-21 20:07:01.745195 IP 192.168.183.253.33774 > 192.168.0.16.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84033839 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:02.745136 IP 192.168.183.253.33774 > 192.168.0.16.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84034089 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:04.747139 IP 192.168.183.253.33774 > 192.168.0.16.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84034590 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:08.756068 IP 192.168.183.253.33774 > 192.168.0.16.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84035592 ecr 0,nop,wscale 6], length 0
2017-04-21 20:07:16.767486 IP 192.168.183.253.33774 > 192.168.0.16.22: Flags [S], seq 2118693960, win 29200, options [mss 1460,sackOK,TS val 84037596 ecr 0,nop,wscale 6], length 0
4 ответа
Я мог бы решить эту проблему. Я сделал ошибку в таблице маршрутизации цели (192.168.0.16). Изменение шлюза на этом аппарате делает работу по переадресации портов.
Я мог бы решить эту проблему. Я сделал ошибку в таблице маршрутизации цели (192.168.0.16). Изменение шлюза на этом аппарате делает работу по переадресации портов.
Я мог бы решить эту проблему. Я сделал ошибку в таблице маршрутизации цели (192.168.0.16). Изменение шлюза на этом аппарате делает работу по переадресации портов.
Я мог бы решить эту проблему. Я сделал ошибку в таблице маршрутизации цели (192.168.0.16). Изменение шлюза на этом аппарате делает работу по переадресации портов.