1. Если правила DNAT не работают, проверьте что в правила вообще попадает трафик. В таблице nat, цепочке POSTROUTING посмотрите реальное существование правил, которые вы добавили через firewall в Менеджере.
Для примера рассмотрим создание *DNAT с адреса 1.2.3.4 по tcp и udp портам 2222 на адрес 10.0.0.1 порт 4444 *и создание* DNAT с адреса 1.2.3.4 по tcp и udp портам 2233 на адрес 10.0.0.1 порт 4455\*
После того как правила добавлены через Менеджер или вручную, сделайте несколько обращений на адрес:порт по которым сделаны пробросы.
Теперь можно посмотреть сколько пакетов вообще попало в пользовательский firewall. В примере до пользовательского firewall'a дошло 142Мб трафика
{code}
iptables -t nat -nvL PREROUTING | grep fw_custom_dnat
1432K 142M fw_custom_dnat all * * 0.0.0.0/0 0.0.0.0/0
{code}
А сколько пакетов попало в правила DNAT можно посмотреть командой
{code}
iptables -t nat -nvL fw_custom_dnat
Chain fw_custom_dnat (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2222 to:10.0.0.1:4444
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2222 to:10.0.0.1:4444
8 123 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2233 to:10.0.0.1:4455
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2233 to:10.0.0.1:4455
{code}
Из листинга видно что пришедшие пакеты попали только в правило DNAT для адреса 1.2.3.4 по tcp порту 2233. В остальные правила пакеты не попали и проброс по этим портам не сработал. Значит пакеты либо не дошли до биллинга вообще либо были обработаны правилами файервола выше.
2. Если правила DNAT настроены верно, в них попадают пакеты, но результата нет - вероятно включен RP_FILTER(*Консольное меню \-> Конфигурирование сервера -**>* *Безопасность -**>** Проверка обратного пути (RP_FILTER)*).
Его нужно отключить
Для примера рассмотрим создание *DNAT с адреса 1.2.3.4 по tcp и udp портам 2222 на адрес 10.0.0.1 порт 4444 *и создание* DNAT с адреса 1.2.3.4 по tcp и udp портам 2233 на адрес 10.0.0.1 порт 4455\*
После того как правила добавлены через Менеджер или вручную, сделайте несколько обращений на адрес:порт по которым сделаны пробросы.
Теперь можно посмотреть сколько пакетов вообще попало в пользовательский firewall. В примере до пользовательского firewall'a дошло 142Мб трафика
{code}
iptables -t nat -nvL PREROUTING | grep fw_custom_dnat
1432K 142M fw_custom_dnat all * * 0.0.0.0/0 0.0.0.0/0
{code}
А сколько пакетов попало в правила DNAT можно посмотреть командой
{code}
iptables -t nat -nvL fw_custom_dnat
Chain fw_custom_dnat (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2222 to:10.0.0.1:4444
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2222 to:10.0.0.1:4444
8 123 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2233 to:10.0.0.1:4455
0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2233 to:10.0.0.1:4455
{code}
Из листинга видно что пришедшие пакеты попали только в правило DNAT для адреса 1.2.3.4 по tcp порту 2233. В остальные правила пакеты не попали и проброс по этим портам не сработал. Значит пакеты либо не дошли до биллинга вообще либо были обработаны правилами файервола выше.
2. Если правила DNAT настроены верно, в них попадают пакеты, но результата нет - вероятно включен RP_FILTER(*Консольное меню \-> Конфигурирование сервера -**>* *Безопасность -**>** Проверка обратного пути (RP_FILTER)*).
Его нужно отключить