( debtamas88 | 2021. 03. 03., sze – 18:41 )

Szerkesztve: 2021. 03. 03., sze – 19:02

iptables -A FORWARD -i enp0s31f6 -p tcp -m tcp --dport 30000:50000 -d 192.168.100.105 -j ACCEPT
iptables -A FORWARD -i enp0s31f6 -p tcp --dport 20 -d 192.168.100.105 -j ACCEPT
iptables -A FORWARD -i enp0s31f6 -p tcp --dport 21 -d 192.168.100.105 -j ACCEPT
iptables -A PREROUTING -i enp0s31f6 -p tcp -t nat --dport 21 -j DNAT --to-destination 192.168.100.105:21
iptables -A PREROUTING -i enp0s31f6 -p tcp -t nat --dport 20 -j DNAT --to-destination 192.168.100.105:20
iptables -A PREROUTING -i enp0s31f6 -p tcp -m multiport -t nat --dports 30000:50000 -j DNAT --to-destination 192.168.100.105:30000-50000

helyette


enp0s31f6 -> 1.2.3.4   gw:?
vmbr1 -> 1.5.6.7/32
vmbr0 -> 192.168.100.1
vmbr0/vm -> 192.168.100.105 ftp

( HOST gépen, amin a public IP van )
$> modprobe nf_conntrack
$> modprobe nf_conntrack_ftp

iptables -A PREROUTING -t raw -m tcp -p tcp --dport 21 -j CT --helper ftp
...
iptables -A INPUT -t filter -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -t filter -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
...
iptables -A FORWARD -t filter -s 192.168.100.105 -j ACCEPT
iptables -A FORWARD -t filter -d 192.168.100.105 -j ACCEPT
...
iptables -A OUTPUT -t filter -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -t filter -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A PREROUTING -t nat -i enp0s31f6 -d 1.5.6.7 -m tcp -p tcp --dport 20 -j DNAT --to 192.168.100.105:20
iptables -A PREROUTING -t nat -i enp0s31f6 -d 1.5.6.7 -m tcp -p tcp --dport 21 -j DNAT --to 192.168.100.105:21
...
iptables -A POSTROUTING -t nat -o enp0s31f6 -s 192.168.100.105 -j SNAT --to 1.5.6.7

A "FORWARD" ágon még lehet szűkíteni, de "-d" és "-s" az mindenképp benne kell legyen.
Csiszolni kell rajta kicsit, hogy jó legyen :)