Порт вперед Linux iptables
Моя текущая настройка сети состоит из физического nic eth1, получающего мой общедоступный IP от модема. Затем у меня есть kvm/qemu виртуальные машины, работающие на виртуальной сети с помощью диапазона IP 192.168.122.0 - 200 ведьма является сетью NAT по умолчанию, созданной kvm. Моя проблема - то, что у меня есть виртуальный сервер, выполняющий мой сервер OpenVPN, который должен быть доступным вне LAN. Сервер VPN имеет статический IP 192.168.122.4. Я хотел бы портировать порты передачи 943,1194 к моему vpn серверу, как я сделал бы это в Linux iptables?
Примечание: следующие правила были добавлены к iptables kvm: у Меня также есть другие правила для фильтрации, но я не думаю, что это необходимо для шоу.
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -p udp -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -p tcp -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.93/32 -j SNAT --to-source (my public ip)
Следующее должно помочь: он заберет весь трафик на вашем общедоступном интерфейсе, поступающий через порты VPN, и изменит пункт назначения на ваш VPN-компьютер.
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dports 943, 1194 -j DNAT --to 192.168.122.4
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dports 943, 1194 -j DNAT --to 192.168.122.4
Это похоже на то, что вы этого не делаете. есть какие-то правила фильтрации вашего форварда. Если вы сделаете следующую строку, весь трафик извне будет разрешен на вашу VPN-машину.
iptables -A FORWARD -i eth1 -d 192.168.122.4 -j ACCEPT