Hjælp til iptables vedr. intern webserver

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 60.0.0.1 --dport 5000 -j DNAT --to-destination 10.0.0.2:5000

... OK, preroter til port 5000 på 10.0.0.2

iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 5000 -d 10.0.0.2 -j ACCEPT

... Også OK åpner forwarding firewall for denne trafikken.

Det som formodentlig gjør at det ikke kan kjøre:

TCP er alltid en toveis forbindelse. Det vil således aldri være nok å kun åpne for trafikk den ene vei. Man må også ta hensyn til den returtrafikk som vil måtte generere og også åpne for denne.

Denne bør kunne gi flyt i returtrafikken ut:

iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

Hvis man synes dette blir for liberalt så er det også mulig å sette opp en statefull inspection i trafikkretning ut.

Tror ellers ikke at man kan ha masquerade på eth0 og eth1 samtidig. Det bør vel være en av dem.

hmm, det hjalp heller ikke. Flere forslag er meget velkomne. Finder jeg selv ud af det, vender jeg lige tilbage med et svar.

Jeg tænker faktisk på om mit problem ikke er at jeg tester det indefra netværket, ud på internettet, ind i netværket igen, og så ikke får lov til at få svar tilbage fordi jeg sidder indvendig og tester som om jeg sidder eksternt? I så fald, hvad skulle der til for at jeg får lov til at få svar tilbage?

Vil senere i dag teste om det ikke virker eksternt.

Nå, endelig fandt jeg ud af hvad der er galt. Det hele virkede udefra, men ikke indefra. Derfor skulle denne linie tilføjes, ud over prerouting reglen:

iptables -t nat -A POSTROUTING -p tcp -d "webserverip" --dport 4000 -j SNAT --to-source "firewallip"

- nu virker det udefra, og indefra.