Проблемы с NAT

Тема в разделе "Маршрутизация", создана пользователем Shalpey, 3 окт 2018.

  1. Shalpey

    Shalpey Новый участник

    Всем доброго времени суток!

    Столкнулся с проблемой проброса порта 5555, проброс работает как-то наполовину.

    Есть правило:

    chain=dstnat action=dst-nat to-addresses=some addr to-ports=5555 protocol=tcp
    in-interface=eth1-gw dst-port=5555 log=no log-prefix=""

    Это правило срабатывает только с 1 внешнего ip, со всех остальных нет, даже счетчик пакетов на правиле не увеличивается, разрешал весь трафик с ip адресов на которых не срабатывает, даже полностью отключал дропы, проверил все правила в фаерволе, правил которые могли бы блокировать, нет. Это правило начинает срабатывать с любых адресов при одном условии если dst-port изменить на любой другой, например на 5556 или 5554, Подскажите пожалуйста куда глядеть?

    dst-port не могу изменить т.к. придется перенастраивать кучу планшетов которые находятся в разных городах и подключаются по этому порту.
     
  2. alexei1977

    alexei1977 Участник

    Так он так и должен срабатывать.
     
  3. Kato

    Kato Участник

    выберите заново протокол и меняйте порт
     
  4. Мышаня

    Мышаня Участник

    несколько внешних ip на одном интерфейсе?
     
  5. Shalpey

    Shalpey Новый участник

    Нет, внешний интерфейс один и ip на нем тоже один, второго провайдера нет и лоадбалансинга, маркировки и прочего тоже нет, конфигурация очень простая. Если я например подключаю с серверу на порт 5555 например из дома то нат срабатывает, а если из магазина на этот же порт то нет, но если изменить dst-port на 5556 например то нат срабатывает в обоих случаях

    Полностью предложение читайте.

    Ответил выше.
     
    Последнее редактирование: 3 окт 2018
  6. Мышаня

    Мышаня Участник

    А провайдер не режет 5555й порт? Или роутер в магазине? Странная получается ситуация, по src address привязки нет, а как будто есть. Такое наблюдается в разных точках?
     
  7. Dmitry_S

    Dmitry_S Участник

    А зачем вообще указывать dst-port, если вы его не меняете?
     
  8. Shalpey

    Shalpey Новый участник

    Что?

    Все верно, оказалось что провайдер заблочил из вне этот порт из-за атаки на него, он был доступен только в сети провайдера, т.к. и дома и в офисе провайдер одинаковый подключался спокойно, а в магазине был другой провайдер и подключение не проходило, ну и соответственно с других точек по этой же причине не проходило соединение, сейчас все работает.

    Всем спасибо за помощь!
     
  9. Dmitry_S

    Dmitry_S Участник

    Если пробрасываете порт не меняя его, то зачем его указывать в dst-port?
    У вас должно быть что-то типа:
    chain=dstnat action=dst-nat to-addresses=some addr to-ports=5555 protocol=tcp in-interface=eth1-gw log=no log-prefix=""

    Ваш ответ как-то не вяжется с описанием проблемы в вашем первом посте:
    Либо вы путаете to-ports с dst-port
     
  10. Мышаня

    Мышаня Участник

    Было дело, с андроидами что-то ;)
    Хорошо, что всё порешалось
     
  11. Shalpey

    Shalpey Новый участник

    1. Это вообще не важно указан ли порт в параметре to-ports или нет, если они совпадают.
    2. Что конкретно не вяжется?
    3. Это вы похоже путаете параметры их назначение
     
  12. Dmitry_S

    Dmitry_S Участник

    Я и не говорил, что это важно. А написал - какой смысл его повторять? Это лишне
    Да, это у меня уже глюки с to-ports/dst-port :)
     
  13. Shalpey

    Shalpey Новый участник

    Возможно, но это уж точно не влияет на работоспособность правила.

    Бывает;)