Пробрасывание портов

Когда-нибудь вам может потребоваться сервисы на компьютере за маршрутизатором или же вы просто хотите сделать жизнь проще, подключаясь к локальной сети из интернета. Возможно, вы захотите запустить серверы FTP, HTTP, SSH или VNC на одном или нескольких компьютерах за вашим маршрутизатором и подключаться к ним всем. Есть только одно ограничение — вы можете запускать только по одному сервису на компьютере на каждый порт. Например, невозможно настроить три FTP-сервера за вашим маршрутизатором и попробовать подключиться ко всем трем из интернета через порт 21; только один из них будет на порту 21, когда как остальные будут использовать, скажем, порты 123 и 567. 

Все правила проброса портов имеют вид iptables -t nat -A PREROUTING [-p протокол] --dport [внешний порт маршрутизатора] -i ${WAN} -j DNAT --to [IP-адрес/порт для проброса]. К сожалению, iptables не принимает имена узлов при пробросе портов. Если вы пробрасываете внешний порт на порт с тем же номер ... Читать дальше »

да, в действительности нужно только разрешить форвардинг и прокинуть иптаблесами. Задача на раз-два.
1. echo 1 > /proc/sys/net/ipv4/ip_forward
(/etc/sysctl.conf должен содержать строку net.ipv4.ip_forward = 1, если ее нет - добавить - и выполнить sudo sysctl -p)
2. проброс средствами iptables.
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

192.168.0.0/24 - твоя сеть.
Естественно на Win-машинах шлюзом должен быть прописан Debian-"сервер". В случае проблем внимательно сопоставляем проделанные шаги с предложенными здесь. Если все совпадает, значит глядим tcpdump на интранет-интерфейсе, через который должны бегать win-машины. Вываливаем кусочек сюда, а также 
a) iptables -t nat -L -n -v
b) iptables -L -n
c) grep forward /etc/sysctl.conf
d) cat /proc/sys/net/ipv4/ip_forward

А вообще, вполне достаточно "взять в руки" iptables tutorial. Вперед и с песней. Все предельно просто 

... Читать дальше »

# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (разрешаем VPNщикам обращаться в интернет)
# iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT (разрешаем интернету отдавать пакеты VPNщикам)
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 123.123.123.123 (заменить на внешний ip, с этого ип пользователи будут ходить в интернет)

Так же не забываем включить forwarding (без него работать не будет):
в файле /etc/sysctl.conf раскомментируем строчку:
net.ipv4.conf.default.forwarding=1 
И сообщим ядру о наших намерениях, чтобы лишний раз не перезагружаться:
# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding