Проблемы с NAT

Всем доброго времени суток!

Столкнулся с проблемой проброса порта 5555, проброс работает как-то наполовину.

Есть правило:

chain=dstnat action=dst-nat to-addresses=some addr to-ports=5555 protocol=tcp
in-interface=eth1-gw dst-port=5555 log=no log-prefix=""

Это правило срабатывает только с 1 внешнего ip, со всех остальных нет, даже счетчик пакетов на правиле не увеличивается, разрешал весь трафик с ip адресов на которых не срабатывает, даже полностью отключал дропы, проверил все правила в фаерволе, правил которые могли бы блокировать, нет. Это правило начинает срабатывать с любых адресов при одном условии если dst-port изменить на любой другой, например на 5556 или 5554, Подскажите пожалуйста куда глядеть?

dst-port не могу изменить т.к. придется перенастраивать кучу планшетов которые находятся в разных городах и подключаются по этому порту.

 

Так он так и должен срабатывать.

 

выберите заново протокол и меняйте порт

 

несколько внешних ip на одном интерфейсе?

 

Нет, внешний интерфейс один и ip на нем тоже один, второго провайдера нет и лоадбалансинга, маркировки и прочего тоже нет, конфигурация очень простая. Если я например подключаю с серверу на порт 5555 например из дома то нат срабатывает, а если из магазина на этот же порт то нет, но если изменить dst-port на 5556 например то нат срабатывает в обоих случаях

Полностью предложение читайте.

Ответил выше.

 

А провайдер не режет 5555й порт? Или роутер в магазине? Странная получается ситуация, по src address привязки нет, а как будто есть. Такое наблюдается в разных точках?

 

А зачем вообще указывать dst-port, если вы его не меняете?

 

Что?

Все верно, оказалось что провайдер заблочил из вне этот порт из-за атаки на него, он был доступен только в сети провайдера, т.к. и дома и в офисе провайдер одинаковый подключался спокойно, а в магазине был другой провайдер и подключение не проходило, ну и соответственно с других точек по этой же причине не проходило соединение, сейчас все работает.

Всем спасибо за помощь!

 

Если пробрасываете порт не меняя его, то зачем его указывать в dst-port?
У вас должно быть что-то типа:
chain=dstnat action=dst-nat to-addresses=some addr to-ports=5555 protocol=tcp in-interface=eth1-gw log=no log-prefix=""

Ваш ответ как-то не вяжется с описанием проблемы в вашем первом посте:

Либо вы путаете to-ports с dst-port

 

Было дело, с андроидами что-то
Хорошо, что всё порешалось

 

1. Это вообще не важно указан ли порт в параметре to-ports или нет, если они совпадают.
2. Что конкретно не вяжется?
3. Это вы похоже путаете параметры их назначение

 

Я и не говорил, что это важно. А написал - какой смысл его повторять? Это лишне

Да, это у меня уже глюки с to-ports/dst-port

 

Возможно, но это уж точно не влияет на работоспособность правила.

Бывает