Re: Debian - port forward

["d.petr" <d bod petr zavinac post bod cz>]

Zemek - Centrum wrote:
> takře teď mám vše snad správně a stejně to nejde. Čeho se pokouším dosáhnout
> jsem popsal výše a nastavení poslední je následující:
>
> iptables -t nat  -L -v
> --------------
> Chain PREROUTING (policy ACCEPT 161K packets, 14M bytes)
> pkts bytes target     prot opt in     out     source
> destination
>   82  4272 DNAT       tcp  --  eth0   any     anywhere             anywhere
> tcp dpt:ssh to:10.0.0.3:22
>   647 32592 DNAT       tcp  --  eth0   any     anywhere             anywhere
> tcp dpt:5899 to:192.168.1.43:5899
> 42125 7680K DNAT       udp  --  eth0   any     anywhere             anywhere
> udp dpt:5899 to:192.168.1.43:5899
> --------------------
>
> iptables --list
> ------------------
> Chain FORWARD (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  localnet/24          anywhere
> ACCEPT     all  --  anywhere             anywhere            state
> RELATED,ESTABLISHED
> LOG        all  --  anywhere             localnet/24         LOG level
> warning
> DROP       all  --  anywhere             localnet/24

        A tady bych si tipnul příčinu.
	Jestli *nové* pakety pro port 5899 dostanou v PREROUTING nový cíl a 
procházejí FORWARDem, tak tady je pro ně 1. i 2. podmínka (řádek) 
nesplněná, 3. už asi splněná je (jestli 192.168.1.43 spadá do 
localnet/24), takže by měly být zalogovány (jsou??), a 4. podmínka je 
taky splněná a zlikviduje je. :-(
        A kdyby to přece přežily, tak je zaloguje a zikviduje následující 
dvojice.

> LOG        all  --  anywhere             anywhere            LOG level
> warning
> DROP       all  --  anywhere             anywhere


	Stručně: tyhle ACCEPTy musejí být vyhodnoceny (tzn. zapsány) ještě před 
těmi DROPy.
> ACCEPT     tcp  --  anywhere             192.168.1.43        state NEW tcp
> dpt:5899
> ACCEPT     udp  --  anywhere             192.168.1.43        state NEW udp
> dpt:5899

Petr