iptables

[Jirka Havelka]

Dobrý den,

> Je to divný, podle tcpdumpu se komunikace zařezává: R 0:0(0) ack 2518482954
> win 0, je to tak?
> Takže rovnou přihazuju pravidla, kterých by se to mělo týkat:
> iptables -A INPUT -p tcp --dport 3778 -m state --state NEW -j ACCEPT
Toto pravidlo se neuplatní, protože je už port přepsán na 22. Pokud by 
bylo třeba rozlišit pakety, které přišly přímo na port 22 od paketů kde 
byl dport přepsán, je třeba v MANGLE tabulce paket "omarkovat".

Např.:
iptables -t mangle -A PREROUTING -i $wan -p tcp --dport 3778 -j MARK 
--set-mark 1

a pravidlo pak bude:
iptables -A INPUT -p tcp --dport 22 -m mark --mark 1 -m state --state 
NEW -j ACCEPT

> iptables -t nat -A PREROUTING -p tcp --dport 3778 -i $wan -j DNAT --to
> verejna_IP:22 (zkoušel jsem i vnitřní IP)
> iptables -t nat -A POSTROUTING -p tcp --dport 22 -j SNAT --to
> verejna_IP:3778
>
> na konci pak zahazování packetů:
> iptables -A INPUT -p tcp -i $wan -j REJECT --reject-with tcp-reset
Pokud je moje úvaha správná, měl být v původním stavu pomocí tcpdump 
vidět ten reject?

S pozdravem
Jiří Havelka