Проброс портов и Firewall

Обсуждение ПО и его настройки
Ответить
Modsley
Сообщения: 1
Зарегистрирован: 29 дек 2017, 11:41

Приветствую.
Что-то никак не могу сообразить.
Проброс настроен и работает.
add action=netmap chain=dstnat dst-address=Х.Х.Х.Х dst-port=5000 in-interface=pppoe-out1 protocol=tcp to-addresses=Х.Х.Х.Х to-ports=5000

По многочисленным рекомендациям настроил правила в Firewall, проброс, естественно, работать перестал.
И никак не могу сообразить, какое правило прописать в Firewall, чтобы снова заработал.
Сейчас так
action=accept chain=input comment=NAS port=5000 protocol=tcp
И не работает.

Заработало при добавлении правила
add action=accept chain=forward comment=NAS connection-nat-state=dstnat

Но что меня беспокоит, правило
action=accept chain=input comment=NAS port=5000 protocol=tcp
оказалось ненужным, т.е. работает и без него

А как это ему удаётся, входящие соединения же у меня вроде закрыты
add action=drop chain=input comment="Input connections drop" in-interface=pppoe-out1

Спасибо.
Последний раз редактировалось Modsley 29 дек 2017, 12:01, всего редактировалось 1 раз.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Так как у вас нетмап - в прероутинге пакет превращается в пакет с сорс адресом подключающегося, но дст адресом внутренним хранилки, все правильно - форвард

Так же можно изменить последнее правило на запрет форвардинга из интернета таким образом (универсально при добавлении пробросов других не понадобится добавлять правило на форвард)
add action=drop chain=forward connection-nat-state=!dstnat connection-state=invalid,new in-interface=pppoe-out1


Ответить