[Sysadmins] Проброс портов с тарелки в локалку

Вт Апр 18 06:12:16 MSD 2006

Суть проблемы: 
 Тырнет рулится через шлюз, на котором ДВБ-плата и АДСЛ, прикрученный к
эфирнет-карточке.
 Со шлюза всё подаётся на биллинг-сервант, где подрублено 2 сетки - радио и
проводная.
 На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк
запрос имеем отклик.
 Не работает с серванта. Ни пинг, ни телнет на нужные порты не прут, хотя
лампочки АДСЛ-мопеда дрыгаются, когда чего-то засылаем. Нет возврата по
тазику, хоть убейся... 
 При этом через проксю прёт всё, что умеет переть через проксю (в т.ч. с
подсеток). Оно же и редиректится для вящей прозрачности. 
 А вот с такими сервисами, как мыло, новости, жабер и т.п. - облом-с.
Жабер-то хоть при явном указании проксика работает, остальное - Х (крест). 

Интерфейсы шлюза: 
 lan: 192.168.2.254/24 
 adsl: 192.168.1.254/24 
 dvb0_0: 192.168.0.254/24 
 tun0: 82.211.160.243 peer 192.168.80.70/32 

adsl смотрит на модем с адресом 192.168.1.1/24 

С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24 
Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки. 

На шлюзе: 
 # iptables -nL FORWARD 
 Chain FORWARD (policy ACCEPT) 
 target     prot opt source               destination 
 BLOCK      all  --  0.0.0.0/0            0.0.0.0/0 

 # iptables -nL BLOCK 
 Chain BLOCK (2 references) 
 target     prot opt source               destination 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x16/0x02 limit: avg 1/sec burst 5 
 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
flags:0x17/0x04 limit: avg 1/sec burst 5 
 ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
limit: avg 1/sec burst 5 
 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state
RELATED,ESTABLISHED 

 # iptables -nL -t nat 
 Chain PREROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
redir ports 2121 
 REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           multiport
dports 80,8080,8081 redir ports 3128 

 Chain POSTROUTING (policy ACCEPT) 
 target     prot opt source               destination 
 ACCEPT     all  --  192.168.1.1          192.168.1.1 
 SNAT       all  --  192.168.1.1          0.0.0.0/0          
to:82.211.160.243 
 SNAT       all  --  0.0.0.0/0            0.0.0.0/0          
to:192.168.1.254 

 Chain OUTPUT (policy ACCEPT) 
 target     prot opt source               destination 

На сервере: 
 # iptables -t nat -nL 
 Chain PREROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 

 Chain POSTROUTING (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 
  7636  593K SNAT       all  --  *      *       0.0.0.0/0           
0.0.0.0/0           to:192.168.2.253 

 Chain OUTPUT (policy ACCEPT) 
  pkts bytes target     prot opt in     out     source              
destination 

Сделал на шлюзе по чьей-то рекомендации следующее: 
 echo "90 lan" >> /etc/iproute2/rt_tables 
 ip rule add from 192.168.2.0/24 table lan 
 ip route add default dev tun0 table lan 

Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал,
а теперь говорит: 
 $ telnet usib.irkps.ru jabber 
 Trying 195.46.96.107... 
 telnet: connect to address 195.46.96.107: No route to host 

 $ ping usib.irkps.ru 
 PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data. 
 From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107) 
 From 192.168.2.254 icmp_seq=1 Destination Host Unreachable 
 From 192.168.2.254 icmp_seq=2 Destination Host Unreachable 

________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий   +7 39543 444-00