1. Если правила DNAT не работают, проверьте что в правила вообще попадает трафик. В таблице nat, цепочке POSTROUTING посмотрите реальное существование правил, которые вы добавили через firewall в Менеджере.
|
Для примера рассмотрим создание *DNAT с адреса 1.2.3.4 по tcp и udp портам 2222 на адрес 10.0.0.1 порт 4444 *и создание* *{*}DNAT с адреса 1.2.3.4 по tcp и udp портам 2233 на адрес 10.0.0.1 порт 4455\*
|
После того как правила добавлены через Менеджер или вручную, сделайте несколько обращений на адрес:порт по которым сделаны пробросы.
|
... Теперь можно посмотреть сколько пакетов вообще попало в пользовательский firewall. В примере до пользовательского firewall'a дошло 142Мб трафика {code} iptables -t nat -nvL PREROUTING | grep fw_custom_dnat 1432K 142M fw_custom_dnat all * * 0.0.0.0/0 0.0.0.0/0 {code} А сколько пакетов попало в правила DNAT можно посмотреть командой {code} iptables -t nat -nvL fw_custom_dnat Chain fw_custom_dnat (1 references) pkts bytes target prot opt in out source destination 0 0 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2222 to:10.0.0.1:4444 0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2222 to:10.0.0.1:4444 8 123 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2233 to:10.0.0.1:4455 0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2233 to:10.0.0.1:4455 {code} Из листинга видно что пришедшие пакеты попали только в правило DNAT для адреса 1.2.3.4 по tcp порту 2233. В остальные правила пакеты не попали и проброс по этим портам не сработал. Значит пакеты либо не дошли до биллинга вообще либо были обработаны правилами файервола выше. 2. Если правила DNAT настроены верно, в них попадают пакеты, но результата нет - вероятно включен RP_FILTER(*Консольное меню \-> Конфигурирование сервера -**>* *Безопасность -**>** Проверка обратного пути (RP_FILTER)*). Его нужно отключить
|