Minulla on siis suoranainen ongelma iptablesien asetuksien kanssa. Wikistä löytyvällä ohjeella sain kaiken muun toimimaan, paitsi NAT:n takana olevien porttien ohjauksen.
Ongelma lyhykäisyydesään:
Minulla on kaksi nettiyhteyttä. Toinen organisaation ja toinen henkilökohtainen. Käytän henkilökohtaista(wan2) yhteyttä kaikeen muuhun paitsi organisaatioon(wan2) tapahtuvaan liikenteeseen.
Minun pitäisi saada torrent porttit 29000(tcp) ja 18125 (udp) ohjattua osoitteeseen 192.168.0.170
Iptables scripti:
#!/bin/bash
#Muuttujat
LAN=eth0
LAN_IP=192.168.0.0/255.255.0.0
Organisaatio
WAN1=eth1
Henkilökohtainen netti
WAN2=eth2
IPTABLES=/sbin/iptables
###########################################################
###################### Perustaulukko ######################
###########################################################
#Putsataan taulukko
${IPTABLES} -F
${IPTABLES} -X
#Taulukoiden perussäännöt
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
#---------- INPUT ----------#
${IPTABLES} -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i ${LAN} -s ${LAN_IP} -j ACCEPT
#Salli SSH, HTTP, ja FTP-yhteys ulkopuolelta
${IPTABLES} -A INPUT -p tcp --dport ssh -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport http -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport 654 -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport ftp -j ACCEPT
WAN1
${IPTABLES} -A INPUT -i ${WAN1} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p tcp --syn -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p icmp -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN1} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
WAN2
${IPTABLES} -A INPUT -i ${WAN2} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p tcp --syn -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p icmp -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN2} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -j DROP
#---------- FORWARD ----------#
#WAN1
${IPTABLES} -A FORWARD -i ${WAN1} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p tcp --syn -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p icmp -j DROP
${IPTABLES} -A FORWARD -i ${LAN} -o ${WAN1} -s ${LAN_IP} -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN1} -o ${LAN} -d ${LAN_IP} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN1} -o ${LAN} -d ${LAN_IP} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
#WAN2
${IPTABLES} -A FORWARD -i ${WAN2} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p tcp --syn -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p icmp -j DROP
${IPTABLES} -A FORWARD -i ${LAN} -o ${WAN2} -s ${LAN_IP} -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN2} -o ${LAN} -d ${LAN_IP} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN2} -o ${LAN} -d ${LAN_IP} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -j DROP
#---------- OUTPUT ----------#
##########################################################
###################### NAT-taulukko ######################
##########################################################
#Putsataan taulukko
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X
#Taulukoiden perussäännöt
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT
#---------- PREROUTING ----------#
#Tänne uudelleenohjeukset
Torrent
${IPTABLES} -t nat -A PREROUTING -p tcp --dport 29000 -i ${WAN2} -j DNAT --to 192.168.0.170
${IPTABLES} -t nat -A PREROUTING -p tcp --dport 18125 -i ${WAN2} -j DNAT --to 192.168.0.170
#---------- POSTROUTING ----------#
${IPTABLES} -t nat -A POSTROUTING -o ${WAN1} -j MASQUERADE
${IPTABLES} -t nat -A POSTROUTING -o ${WAN2} -j MASQUERADE