Ich versuche, den Datenverkehr aus dem Internet auf ein internes Gerät umzuleiten, auf das ich nur lokalen Zugriff haben möchte. Ich habe einen Host in meiner DMZ, auf den ich den Datenverkehr per DNAT und SNAT umleiten möchte, sodass keine Internetroute erforderlich ist.
Beim Testen kann ich DNAT/SNAT von einem lokalen Computer zu diesem Proxy-Host durchführen und auf die Ressourcen des internen Geräts zugreifen. Wenn ich jedoch auf den Port meines Routers zugreife, kann ich die über tcpdump beim Proxy-Host eingehenden Anfragen sehen und sehe, dass sie den DNAT-Regelzähler von iptables erhöhen, aber dennoch keine Verbindung hergestellt wird. Weitere lokale Tests erhöhen sowohl den DNAT- als auch den SNAT-Regelzähler, aber externer Datenverkehr erhöht nur den DNAT-Zähler.
Der Proxy-Host wurde nur zu diesem Zweck eingerichtet und verfügt über keine anderen Dienste. Es gibt eine Schnittstelle mit zwei IPs, .254 und .253. Eingehender Datenverkehr sollte über .254 erfolgen und auf dem Weg zum internen Gerät von .253 per SNAT weitergeleitet werden. Kernel-IPv4-Weiterleitung ist ebenfalls aktiviert.
Unten ist meine iptables-Konfiguration:
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*filter
:INPUT ACCEPT [32:4832]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14:1016]
-A INPUT -p tcp -m tcp --dport 443 -j MARK --set-mark 7
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i admin -p udp -m state --state NEW -m udp --dport 161 -j ACCEPT
-A INPUT -i local -p tcp -m state --state NEW -m tcp --dport 5308 -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A FORWARD -d 10.254.254.1/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -mm
tcp --dport 443 -j ACCEPT
-A FORWARD -j ACCEPT
-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*mangle
:PREROUTING ACCEPT [73:6562]
:INPUT ACCEPT [33:4290]
:FORWARD ACCEPT [18:972]
:OUTPUT ACCEPT [18:1408]
:POSTROUTING ACCEPT [27:1624]
-A INPUT -s 173.214.161.60 -j MARK --set-xmark 0x6/0xffffffff
-A FORWARD -s 173.214.161.60 -j MARK --set-xmark 0x5/0xffffffff
-A POSTROUTING -s 173.214.161.60 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -s 173.214.161.60 -j MARK --set-xmark 0x3/0xffffffff
-A OUTPUT -s 173.214.161.60 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*nat
:PREROUTING ACCEPT [31:3139]
:POSTROUTING ACCEPT [14:1016]
:OUTPUT ACCEPT [14:1016]
-A PREROUTING -d 10.254.254.254/32 -i dmz -j DNAT --to-destination 10.254.254.2
-A POSTROUTING -o dmz -j SNAT --to-source 10.254.254.253
COMMIT
# Completed on Sun Jun 22 22:49:18 2014