iptables port forwarding in die andere Richtung

Question

Ich benutze Linux Router für den Zugriff auf das Internet über PPPoE. Diese Box hat zwei Schnittstellen: eth0 für internes LAN und eth1 für den Aufbau einer ppp0-Schnittstelle auf einem PPPoE-Modem. Für Firewalls und Portweiterleitungen verwende ich iptables mit nat. Dies funktioniert wie erwartet: Ich im Internet vom LAN geht, kann ich bestimmten Service im LAN von außen durch die Portweiterleitung zugreifen:

iptables -t nat -A PREROUTING -p tcp --dport 9999 -DNAT --to 192.168.2.10:22 

(als Beispiel für den Zugriff auf den SSH-Port eines bestimmten Maschine in meinem LAN von außen)
Aber ich mag eine einzelne Maschine (192.168.8.2) auf der WAN-Port-eth1 für den Zugriff aus dem Innern des LAN: aus diesem Grunde wird die eth1 konfiguriert als: ip addr add 192.168.8.1 dev eth1

So kann ich ssh 192.168.8.2 von der Konsole auf dem Router. Dies funktioniert wie erwartet. aber ich möchte auch von Maschinen aus dem LAN darauf zugreifen.

iptables -t nat -A PREROUTING -p tcp --dport 9997 -DNAT --to 192.168.8.2:22 

aber das wird nicht funktionieren. Ich sehe Pakete von meinem LAN-Side-Machine gehen auf eth0 und Adresse 192.168.8.2, aber ich bekomme keine Antwort. kann mir jemand zeigen, wo mein Fehler liegt?

Dank im Voraus Marco

Answer 1

Es sei denn, der Server (192.168.8.2) weiß, wie man den Computer im LAN, um wieder (würde Routing für den Verkehr zu überprüfen, von diesem Server kommt zurück), würden Sie haben um eine -t nat POSTROUTING Regel auf dem Router, um es aussehen wie aussehen, es ist Verkehr, der aus dem Router geht (was ich denke, ist bereits von 192.168.8.2 zugänglich). Der Verkehr würde in der Lage sein, zurück zum Router zu kommen, wenn der Server antwortet und der Router sich um unNATING kümmern würde.