Dotaz: Smerovani portu pouze s verejne IP

Dobry den,

neco jsem tu na toto tema uz nasel ale porad si nejsem uplne jisty tak se radsi zeptam... potrebuji smerovat konkretni port na konkretni IP na vnitrni siti, ale pouze pokud ten port prichazi z venkovni IP. Z vnitrni site by to fungovat nemelo.

Nyni to mam nastavene takto:

iptables -A FORWARD -i eth0 -o eth1 -s 172.17.18.2/20 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state  --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix SSH_brute_force
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 3390 -j DNAT --to-dest 172.17.18.60:3390
# porty pro novy IS
iptables -t nat -I PREROUTING -p tcp --dport 5000 -j DNAT --to-dest 172.17.30.10:5000
echo 1 > /proc/sys/net/ipv4/ip_forward

jde mi konkretne o ten port 5000... tady na foru jsem nasel ze by ten prikaz mohlo vypadat takto:

IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp -d 172.17.30.10 --dport 5000 -j ACCEPT

je to tak spravne?

Dekuji za odpovedi

Možná se mýlím, ale v tom preroutingu by měla být uvedena i síťovka vedoucí z internetu. Takhle (bez síťovek) jsou všechny dotazy (odkudkoliv) směřující na port 5000 přesměrovány a ve forwardu jsou ty z nich, které nepocházejí z vnitřního rozsahu IP-adres, po několika zbytečných testech ... vlastně nevím, co se stane, protože neznáme forward policy. A kromě toho bych postrouting masquerade uplatnil jen při odchodu paketu do internetu a ne vždy (i do vnitřní sítě).

Ve forwardu ti to rozhodne fungovat nebude, a jak zminuje predrecnik, staci tam prichodit -i ethx kde ethx je rozhrani do netu.