Eu tenho todo o tráfego chegando na porta 22. Eu escolhi uma porta aleatória 221 na qual eu quero que todo o tráfego seja roteado.
Esta é a regra que eu usei
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 221
or iptables -t nat -A OUTPUT -p tcp --dport 22 -j REDIRECT --to-ports 221
iptable --list
target prot opt source destination
tcp -- anywhere anywhere tcp dpt:ssh
tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:221
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
Estou verificando o tráfego usando o comando
tcpdump -i any port 221
Nada é roteado para a porta 221. O que estou fazendo errado?
A interface de ingresso vê pacotes antes da pilha IP. Ou seja Nenhum efeito NAT é observado em pacotes originados fora do sistema. Sua porta de destino é alterada, você simplesmente não a vê com tcpdump . Você pode vê-lo com os contadores de pacotes na sua corrente filter/INPUT .
Isso é diferente com pacotes gerados localmente. Eles alcançam a pilha de IP antes de chegarem à interface. Assim, você vê os pacotes na interface de loopback com os efeitos DNAT.