Redirecționarea portului cu iptables nu funcționează

Am doua servere:

server 1 cu adresa IP 10.8.0.1

server 2 cu adresa IP 10.8.0.6

Vreau ca serverul 2 să funcționeze ca proxy pentru un site web care este găzduit pe serverul 1. Așa că folosesc următoarele comenzi:

sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.8.0.1:443

sudo iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.1 --dport 443 -j SNAT --to-source 10.8.0.6

Cu toate acestea, configurația de mai sus nu funcționează, deoarece nu pot naviga pe site. De asemenea, telnet 10.8.0.6 443 nu produce output.

Am un exemplu de lucru care funcționează pe LAN-ul meu, dar pe baza comentariilor s-ar putea să nu rezolve problema dvs.:

Traficul web care vine de la 192.168.111.122 pentru 192.168.111.136 este redirecționat către 192.168.111.1. Răspunsurile de la 192.168.111.1 parcurg calea în sens invers, înapoi la 192.168.111.122. cine crede că pachetele au venit de la 192.168.111.136.

doug@s19:~/iptables/misc$ sudo tcpdump -n -tttt -i br0 nu portul 22
tcpdump: ieșirea verbosă a fost suprimată, utilizați -v sau -vv pentru decodarea completă a protocolului
ascultare pe br0, tip link EN10MB (Ethernet), dimensiunea capturii 262144 octeți
2021-12-19 15:57:47.389745 IP 192.168.111.122.51683 > 192.168.111.136.443: Flags [S], seq 1692549099, win, options 640psks40, options 640psacks, 640psacks, 640psacks40 , lungime 0
2021-12-19 15:57:47.389760 IP 192.168.111.136.51683 > 192.168.111.1.443: Steaguri [S], seq 1692549099, win 642549099, win 6420mspsspno1, options [6420psspspnock] , lungime 0
2021-12-19 15:57:47.390055 IP 192.168.111.1.443 > 192.168.111.136.51683: Steaguri [S.], seq 1478028943, ack 160ps40ps, ack 160ps40ps, ops 160ps40ps, 160ps40ps, 160ps40ps4 ,wscale 7], lungime 0
2021-12-19 15:57:47.390062 IP 192.168.111.136.443 > 192.168.111.122.51683: Steaguri [S.], seq 1478028943, ack 40psack416092, ack 40ps416092, ack 40ps416092 ,wscale 7], lungime 0
2021-12-19 15:57:47.390301 IP 192.168.111.122.51683 > 192.168.111.136.443: Steaguri [.], ack 1, win 1026, length 0
2021-12-19 15:57:47.390306 IP 192.168.111.136.51683 > 192.168.111.1.443: Steaguri [.], ack 1, win 1026, length 0
2021-12-19 15:57:47.396847 IP 192.168.111.122.51683 > 192.168.111.136.443: Flags [P.], seq 1:518, ack 1, win 15176, length 15176
2021-12-19 15:57:47.396852 IP 192.168.111.136.51683 > 192.168.111.1.443: Steaguri [P.], secv 1:518, ack 1, win 1026, win 1026
2021-12-19 15:57:47.397080 IP 192.168.111.1.443 > 192.168.111.136.51683: Steaguri [.], ack 518, win 501, length 0
2021-12-19 15:57:47.397085 IP 192.168.111.136.443 > 192.168.111.122.51683: Steaguri [.], ack 518, win 501, length 0
2021-12-19 15:57:47.400934 IP 192.168.111.1.443 > 192.168.111.136.51683: Flags [P.], seq 1:1629, ack 518, win 518, win 1628
2021-12-19 15:57:47.400941 IP 192.168.111.136.443 > 192.168.111.122.51683: Steaguri [.], seq 1:1461, ack 518, lungime 1406, win
2021-12-19 15:57:47.400942 IP 192.168.111.136.443 > 192.168.111.122.51683: Steaguri [P.], secv 1461:1629, lungime win 5181, win 5181

Regulile iptables sunt încărcate prin script pe computerul meu de testare:

doug@s19:~/iptables/misc$ cat ask1382639
#!/bin/sh
FWVER=0,01
#
# ask1382639 Smythies 2021.12.18 Ver:0.01
#       Vezi aici:
# https://askubuntu.com/questions/1382639
#
# rulați ca sudo pe s19.
#
# Notă: s-ar putea să fie necesară îmbinarea acestor reguli
# orice reguli iptables existente setate.

echo „Se încarcă versiunea setului de reguli ask1382639 $FWVER..\n”

# Locația programului iptables
#
IPTABLES=/sbin/iptables

#Setarea interfețelor și adreselor EXTERNE și INTERNE pentru rețea
#
# Smythies (pentru testare)

EXTIF="br0"
EXTIP="192.168.111.136"
REDIRECTIP="192.168.111.1"
NETWORK="192.168.111.0/24"
UNIVERS="0.0.0.0/0"

#
# Pentru serverele reale ale întrebării
#
#EXTIF="NECUNOSCUT"
#EXTIP="10.8.0.6"
#REDIRECTIP="10.8.0.1"
#NETWORK="10.8.0.0/24" PRESUPUT, DE fapt NECUNOSCUT
#UNIVERSE="0.0.0.0/0"


#CRITICAL: Activați redirecționarea IP, deoarece este dezactivată în mod implicit
#
echo Se activează redirecționarea...
echo "1" > /proc/sys/net/ipv4/ip_forward

# Ștergerea oricărei configurații anterioare
# Fii atent aici. Pot face asta pe s19, dar nu știu
# despre serverele Admia.
#
echo „Ștergerea oricăror reguli existente și setarea politicilor implicite..”
$IPTABLES -P INTRARE ACCEPT
$IPTABLES -F INTRARE
$IPTABLES -P ACCEPT IEȘIRE
$IPTABLES -F IEȘIRE
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
# Ștergeți lanțurile definite de utilizator
$IPTABLES -X
# Resetați toate contoarele IPTABLES
$IPTABLES -Z
# Smythies: Deși referințele mele nu îl au, cred că este necesar.
$IPTABLES -t nat -Z

# În primul rând: redirecționează traficul portului 443 către celălalt server.
$IPTABLES -t nat -A PREROUTING -p tcp -i $EXTIF --dport 443 -j DNAT --to $REDIRECTIP

# În al doilea rând: Destinația trebuie să știe la ce adresă IP să răspundă.
$IPTABLES -t nat -A POSTRUTING -p tcp -o $EXTIF --dport 443 -d $REDIRECTIP -j SNAT --to $EXTIP

echo ask1382639 setul de reguli versiunea $FWVER gata.

și:

doug@s19:~/iptables/misc$ sudo iptables -t nat -xvnL
PRERUUTARE în lanț (politica ACCEPTĂ 177 pachete, 13129 octeți)
    pkts bytes target prot opt ​​in out source destination
       6 312 DNAT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 la:192.168.111.1

INTRARE în lanț (politica ACCEPTĂ 177 pachete, 13129 octeți)
    pkts bytes target prot opt ​​in out source destination

POSTOUTING în lanț (politica ACCEPTĂ 3 pachete, 252 octeți)
    pkts bytes target prot opt ​​in out source destination
       6 312 SNAT tcp -- * br0 0.0.0.0/0 192.168.111.1 tcp dpt:443 la:192.168.111.136

IEȘIRE în lanț (politica ACCEPTĂ 3 pachete, 252 octeți)
    pkts bytes target prot opt ​​in out source destination