Jak na NAT v Debian 8?

Napsal TomášX;1341343

jasně, chápu.

obecně si musíš nechat na serveru 22 pro ssh a 1723 s 47 pro PPTP (porty tahám z hlavy, možná máš jiné). Tady musíš použít DNAT na vstupu, aby poslal spojení k tobě na server (přepsal cílovou IP adresu) a SNAT, aby odpovědi od tebe měly IP adresu serveru a ne tvoji lokální, to se zároveň kryje s pravidlem, které jsem poslal výše a již ho nemusíš používat.

Předpokládám, že tvoje veřejná IP adresa na serveru je 2.2.2.2, změň si jí podle sebe. MASQUERADE nepotřebuješ mít zapnuté a nejlepší je, když tohle začneš zkoušet na čistém iptables bez dalších vylomenit nebo pošli jeho výpis, ať ti řeknu co změnit nebo dát pryč.

# nejprve je potřeba pustit na server whitelistované porty a nepřesměrovávat je na tvůj pciptables -t nat -A PREROUTING -p tcp -m tcp --dport 22 -j ACCEPTiptables -t nat -A PREROUTING -p tcp -m tcp --dport 47 -j ACCEPTiptables -t nat -A PREROUTING -p tcp -m tcp --dport 1723 -j ACCEPT# tady zaměníme cíl paketu z servové IP adresy na tu tvoji domácíiptables -t nat -A PREROUTING -d 2.2.2.2 -j DNAT –to-destination 172.16.91.100# jakmile od tebe příjde nějaký paket (například odpověď na příchozí spojení), změníme zdrojovou IP adresu# na IP adresu serveru, aby požadavky neskončily v propadlišti dějiniptables -t nat -A POSTROUTING -s 172.16.91.100 -j SNAT –to-source 2.2.2.2

(nezkoušeno a píšu z hlavy na mobilu, snad to je správně :-)

Napsal TomášX;1341402

hm, spíš bych to viděl na chybu přepisu příkazu, nevidím, že je něco špatně. Podporu pro snat je možné odstranit, ale debian to nedělá.

To je jedno, použijeme masquerade, je sice náročnější na výkon, ale dělá ve výsledku to stejné. Zdrojová IP adresa je nepovinná (-s), ale já jí rád uvádím, abych měl jistotu, že to dělá jen to co chci a že to nebude přeposílat nic jiného ze sítě.

iptables -t nat -I POSTROUTING -o eth0 -s 172.16.91.100 -j MASQUERADE