Hairpin NAT со сменой порта

[KotoSobak]

Добрый день.
В сети есть веб-сервер, на который извне сделан проброс порта 3211--->80.
Необходимо сделать доступ к нему изнутри сети по внешнему адресу и порту 3211.
Все инструкции по созданию правил HairpinNAT как то эту тему обходят и не получается у меня сделать такой финт.
Если подмену порта убрать, то подключается.

Код: Выделить всё

add action=masquerade chain=srcnat comment="Hairpin" dst-address=192.168.0.252 dst-port=3211 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="Hairpin2" dst-address=xxx.xxx.xxx.xxx dst-port=3211 protocol=tcp to-addresses=192.168.0.252 to-ports=80

Правило NAT

Код: Выделить всё

add action=dst-nat chain=dstnat comment="Web to server (192.168.0.252)" dst-port=3211 in-interface=ether1 protocol=tcp to-addresses=192.168.0.252 to-ports=80

[Chupakabra303]

Маскарадинг нужно к dst-port=80 применять.
Если у вас 1 порт только маскируется, то наверное можно было бы и src-nat-ом обойтись.

Вот моя Hairpin конфигурация для ftp но без изменения портов, правда:

Код: Выделить всё

add action=masquerade chain=srcnat comment="Hairpin NAT \E4\EB\FF FTP" dst-address=172.16.1.111 dst-port=20-21,55536-55599 out-interface=bridge1 protocol=tcp src-address=172.16.1.0/24

(тут только для dst-address принадлежащих маршрутизатору, т.е. dst-address-type=local)

Код: Выделить всё

add action=dst-nat chain=dstnat comment="DS1 FTP (+Dst. Address Type = local)" dst-address-type=local dst-port=20-21,55536-55599 protocol=tcp to-addresses=172.16.1.111

[densne]

Добрый день.
Такая же ситуация, без подмены портов работает работает и подключается.
Извне сделан проброс 8070 -> 443 на локальный сервер 192.168.1.70 всё ок.
Из этой же сети 192.168.1.0/24 по внешнему адресу на порт 8070 отказ.

Как сделать src-nat с подменой:(?

[Erik_U]

srcnat для запросов изнутри на свой внешний IP + dstnat для запросов на внешний IP на порт веб сервера с нетмапом на адрес/порт внутри.
Наверно.

[xvo]

Добрый день.
Такая же ситуация, без подмены портов работает работает и подключается.
Извне сделан проброс 8070 -> 443 на локальный сервер 192.168.1.70 всё ок.
Из этой же сети 192.168.1.0/24 по внешнему адресу на порт 8070 отказ.

Как сделать src-nat с подменой:(?

Гуглите "hairpin nat".

[densne]

спасибо,
гуглил и до вопроса, везде академически рассматривают пример когда пробрасывается порт без подмены, вот и спрашивал о подводных камнях.

[xvo]

спасибо,
гуглил и до вопроса, везде академически рассматривают пример когда пробрасывается порт без подмены, вот и спрашивал о подводных камнях.

Нет там никаких подводных камней.
"Без подмены" - это просто частный случай, когда dst-port и to-ports совпадают.

[Ca6ko]

Подводные камни встречаются на оборудовании.
Например, видеорегистраторы Дахуа криво работают если производится подмена порта, когда порт в порт работают стабильно