Los paquetes no cruzan tablas de IP Post-enrutamiento cuando se originan desde una IP externa

tag-icon tag-icon iptables routing
Los paquetes no cruzan tablas de IP Post-enrutamiento cuando se originan desde una IP externa

Estoy intentando reflejar el tráfico de Internet a un dispositivo interno al que solo quiero tener acceso local. Tengo un host en mi DMZ que estoy intentando enviar tráfico DNAT a este dispositivo interno y SNAT, por lo que no se necesita una ruta de Internet.

Durante las pruebas, puedo realizar DNAT/SNAT desde una computadora local a este host proxy y acceder a los recursos en el dispositivo interno. Sin embargo, al acceder al puerto de mi enrutador, puedo ver las solicitudes que llegan al host proxy a través de tcpdump y veo que incrementan el contador de reglas DNAT de iptables, pero no se establece ninguna conexión. Además, más pruebas locales incrementan los contadores de reglas DNAT y SNAT, pero el tráfico externo solo incrementa el contador DNAT.

El servidor proxy se creó únicamente para este propósito y no tiene otros servicios. Hay una interfaz con dos IP .254 y .253. El tráfico entrante debe llegar a .254 y recibir SNAT desde .253 en su camino hacia el dispositivo interno. El reenvío de IPv4 del kernel también está habilitado.

A continuación se muestra mi configuración de iptables:

# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*filter
:INPUT ACCEPT [32:4832]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14:1016]
-A INPUT -p tcp -m tcp --dport 443 -j MARK --set-mark 7
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i admin -p udp -m state --state NEW -m udp --dport 161 -j ACCEPT
-A INPUT -i local -p tcp -m state --state NEW -m tcp --dport 5308 -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A FORWARD -d 10.254.254.1/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -mm
 tcp --dport 443 -j ACCEPT
-A FORWARD -j ACCEPT
-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*mangle
:PREROUTING ACCEPT [73:6562]
:INPUT ACCEPT [33:4290]
:FORWARD ACCEPT [18:972]
:OUTPUT ACCEPT [18:1408]
:POSTROUTING ACCEPT [27:1624]
-A INPUT -s 173.214.161.60 -j MARK --set-xmark 0x6/0xffffffff
-A FORWARD -s 173.214.161.60 -j MARK --set-xmark 0x5/0xffffffff
-A POSTROUTING -s 173.214.161.60 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -s 173.214.161.60 -j MARK --set-xmark 0x3/0xffffffff
-A OUTPUT -s 173.214.161.60 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*nat
:PREROUTING ACCEPT [31:3139]
:POSTROUTING ACCEPT [14:1016]
:OUTPUT ACCEPT [14:1016]
-A PREROUTING -d 10.254.254.254/32 -i dmz -j DNAT --to-destination 10.254.254.2
-A POSTROUTING -o dmz -j SNAT --to-source 10.254.254.253
COMMIT
# Completed on Sun Jun 22 22:49:18 2014

información relacionada