Перестал Работать Проброс Порта (Coordinator Linux)

[next]

Здравствуйте!

Обновил координатор с 3.7.1 до 3.7.4, а ОС с Debian 6 (ядро 2.6.32 ) на Debian 7 (ядро 3.2.57).

Мне нужен проброс rdp-подключения снаружи на машину внутри сети, что реализовано следующим образом, допустим внешний IP координатора (eth1) 1.2.3.4, внутренний (eth0) 192.168.0.1 проброс нужен на 192.168.0.10 и разрешен для внешней машины 5.6.7.8

firewall.conf:

[nat]
rule= num 21 proto tcp from anyip to 1.2.3.4:3389 change dst=192.168.0.10:3389

[forward]
rule= num 100 proto tcp from 5.6.7.8 to 192.168.0.10:3389 pass

На 3.7.1 это работало, на 3.7.4 пакеты режутся по причине "104 - Connection already exists".

вывод iplir view:

06/20 12:17:40xeth0x<D---Tx tcpx 5.6.7.8x51363x 192.168.0.10x 3389
104 - Connection already exists
Interface : eth0

Есть ли вариант починить, не откатываясь на 3.7.1? Может, по другому проброс сделать или настройки какие есть чтоб не резал эти пакеты.

[vadim4egvadim]

iptables не забыл выпилить?

[next]

iptables не забыл выпилить?

iptables не включены, кроме того режет пакет именно координатор. С самого координатора пингуются и 5.6.7.8 и 192.168.0.10, т.е. с маршрутами тоже все хорошо.

[next]

В общем, докладываю - версия координатора не причем.

При абсолютно одинаковых конфигурацинооых файлах, проброс порта НЕ работает в Debian 7 (ядро 3.2.57) в координаторе 2.7.1 и 2.7.4. В Debian 6 (ядро 2.6.32 ) - работает.

Все остальные функции координатора работают.

В обоих случаях использовался патч ядра, ошибок при установке никаких нет. Видимо, координатор криво работает с третьим ядром?

Откатился на 6 дебиан, благо он поддерживается до февраля 2016.

Вообще, грустно все это - приходится сидеть на древних, потенциально дырявых дистрибутивах, обеспечивая "защиту" сети.

Видимо, надо настраивать два файерволла - один для защиты на самом деле, на iptables, а уже за ним координатор для выполнения всяких требований.

P.S. Инструкция для установки координатора на чистый Debian 6, вдруг кому пригодится:

1. Качаем например здесь http://gemmei.acc.um...386-netinst.iso

2. Устанавливаем, при выборе пакетов оставляем только SSH сервер, больше ничего не надо.

3. Обновляемся, ставим пакеты для сборки ядра и корректной работы iplir:

apt-get update && apt-get upgrade
apt-get install build-essential kernel-package linux-source-2.6 fakeroot zlib1g-dev ethtool psmisc

4. Разворачиваем дистрибутив координатора, патчим ядро:

cd /home/next/
tar xvzf distribute-i386-linux2.x-3.7.4-4464.tar.gz
cd /usr/src/
tar xvjf linux-source-2.6.32.tar.bz2
ln -s ./linux-source-2.6.32 ./linux
patch -p0 < /home/next/distribute/patch/iplir.patch.2.6.27-2.6.34

5. Собираем и устанавливаем ядро, воспользовавшись старым конфигом. При make oldconfig на все вопросы отвечаем y, кроме блокировки всех пакетов по умолчанию.

cd /usr/src/linux
cp /boot/config-2.6.32-5-686 .config
make oldconfig
fakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-image
fakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-headers
dpkg -i ../linux-image-2.6.32.vipnet_01_i386.deb
dpkg -i ../linux-headers-2.6.32.vipnet_01_i386.deb

6. Перезагружаемся в новое ядро. uname -r должен выдать 2.6.32.vipnet

7. Блокируем обновление ядра (по желанию), дабы спокойно обновлять все остальное.

echo "linux-headers-2.6-686 hold"| dpkg --set-selections
echo "linux-image-2.6-686 hold"| dpkg --set-selections

8. Собственно, ставим координатор. Dst файл должен быть наготове.

cd /home/next/
cp abn_001.dst ./distribute
cd distribute
./install.sh

9. ...

10. profit!