iptables &Банк-клиент

[alexcandr]

Всем привет, возникла очередная проблема с iptables...Нужно подружить локальную машину с БК,,
что имеем, Centos с 2 интерфейсами
eth0 - 1.1.1.1 смотрит в мир
eth1 -192.9.100.254 - в локалку
ip банк-клиента 213.195.86.9
есть клиент 192.9.100.55 на ней стоит банк-клиент СПБ, естественно коннекта с банком нет, в руководстве БК написано что должно быть прямое соединение с 213,195,86,9 по 1024 порту,,,
Ну вроде понятно все, нужно пробросить пакеты приходящие на eth0 с IP 213.195.86.9 на 1024 порт на локальный комп 192,9,100,55 и обратно
Что я сделал
Открываю порт на eth0 и перекидываю пакеты на локальную машину
$ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J DNAT --to-destination 213.195.86.9:1024
$ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport 1024 -j ACCEPT

Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял, тишина пакеты не идут ни от меня ни ко мне)))
Народ помогите решить проблему
Заранее всем спасибо!!!

[sash-kan]

как минимум тут:

$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J DNAT --to-destination 213.195.86.9:1024

перепутаны местами ip-адреса

[alexcandr]

спс сча попробую

[alexcandr]

Тишина, не работает, что то не так

[sash-kan]

тогда диагностируйте движение трафика·
при обращении извне к адресу 213.195.86.9 вы видите на интерфейсе eth0 пакеты, где получателем указан этот адрес?
за каким именно интерфейсом шлюза у вас закреплён этот адрес? и закреплён ли вообще?
и должен ли он быть закреплён за интерфейсом шлюза для нормальной работы банк-клиента? или всё-таки банк-клиент ожидает увидеть этот адрес на одном из интерфейсов той машины, на которой выполняется?

[alexcandr]

telnet ом подключаюсь с сервака через eth0(внешний ip) подключение проходит,
с локальной машины тельнетус тишина, на интерфейсе на сервере eth1 (192,9,100,254) проверяю tcpdump ом тишина, пакетов никаких нет)))

комментирую правило все работает))
$ipt -A FORWARD -i $INTIF -o $EXTIF -j REJECT

[IMB]

А Вы уверены, что используется протокол TCP? Для примера, у нас КлиентСбербанк связывается с сервером по VPN-каналу с использованием UDP.

[alexcandr]

А Вы уверены, что используется протокол TCP? Для примера, у нас КлиентСбербанк связывается с сервером по VPN-каналу с использованием UDP.

Да уверен, в доках к банк-клиенту именно 1024 tcp порт указан

[alexcandr]

Сделал следующие, эти правила работают, может кому-нибудь пригодятся,,,
Правда слишком много понаписал я))))
где
eth0 - смотрит в мир
eth1 - смотрит в локалку
217.195.86.9 ip банка
213.172.3.19 ip банка
192.9.100.12 ip клиента, на котором стоит банк клиент


$ipt -A INPUT -i $EXTIF -p tcp --dport 1024 -j ACCEPT

$ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j DNAT --to-destination 217.195.86.9:1024
$ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j DNAT --to-destination 213.172.3.19:1024
$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 217.195.86.9 --dport 1024 -j ACCEPT
$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 213.172.3.19 --dport 1024 -j ACCEPT

$ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to внешний IP

[Serega86]

$ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT

у вас либо опечатка на форуме либо в iptables. Если второе то тогда понятно почему не работало у вас

[alexcandr]

$ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT

у вас либо опечатка на форуме либо в iptables. Если второе то тогда понятно почему не работало у вас

$ipt -A INPUT -i $EXTIF -p tcp --dport 1024 -j ACCEPT у меня так

а как должно быть???

[Indarien]

$ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT

у вас либо опечатка на форуме либо в iptables. Если второе то тогда понятно почему не работало у вас

$ipt -A INPUT -i $EXTIF -p tcp --dport 1024 -j ACCEPT у меня так

а как должно быть???

IMPUT =)