Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Iptables запрет порта  (Прочитано 588 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн indemio

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Iptables запрет порта
« : 24 Января 2018, 10:01:28 »
Приветствую. Осваиваюсь потихоньку с iptables.
Вопрос - есть сеть локальная до шлюза с iptables. В ней есть машина с rdp сервером. В этой же сети есть машины которым бы мне хотелось бы прекратить возможность доступа к rdp серверу, но при этом оставить их в той же подсети. Хочу я это сделать именно через iptables. Но по скольку это все происходит до шлюза, то и запросы на рдп идут напрямую не заходя на шлюз. Что я пробовал, так это проксировать рдп сервер через шлюз и уже после этого ограничить к нему доступ, но или лыжи не едут или я не понимаю. Вот пример:
$IPT -A PREROUTING -t nat --dst 3.3.3.3 -p tcp --dport 3389 -j DNAT --to-destination 1.1.1.1:3389
$IPT -A POSTROUTING -t nat --dst 1.1.1.1 -p tcp --dport 3389 -j SNAT --to-source 3.3.3.3
$IPT -A OUTPUT -t nat --dst 3.3.3.3 -p tcp --dport 3389 -j DNAT --to-destination 3.3.3.3:3389
Где 1.1.1.1 реальный адрес рдп сервера, а 3.3.3.3 придуманный "отбалды". При этом само проксирование работает на ура, если ломануться с локальных машин на адрес 3.3.3.3 то подключение к рдп серверу устанавливается. Но вот отфильтровать это у меня никак не получается, вот пример:
$IPT -A INPUT -i $LAN1 -s 1.1.1.219 -p tcp --dport 3389 -j DROP
Где $LAN1 это интерфейс, что смотрит в локальную сеть, 1.1.1.219 ip нежелательной машины. В общем доступ как был так и остается. Я уверен, что подобную фильтрацию можно реализовать, просто у меня мало знаний. Буду рад всем совета спасибо.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Iptables запрет порта
« Ответ #1 : 24 Января 2018, 10:18:06 »
Раз уж Вы собрались разобраться, а не тупо копипастить предложения помогающих, то предлагаю изучить, какой путь(по каким цепочкам) проходит пакет при транзите трафика через шлюз.

Оффлайн indemio

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Iptables запрет порта
« Ответ #2 : 24 Января 2018, 10:20:43 »
Скопипастить было бы тоже неплохо  :)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: Iptables запрет порта
« Ответ #3 : 24 Января 2018, 16:57:11 »
Ну хоть посмотрите на картинку и чуть-чуть подумайте. Это же базовый момент работы netfilter

Оффлайн indemio

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Iptables запрет порта
« Ответ #4 : 25 Января 2018, 05:54:42 »
Пасибки, тему можно закрывать, вопрос решил. Говорила мама мне не пиши на форумах, глупо это и бесполезно  :)
Удачки.

 

Страница сгенерирована за 0.036 секунд. Запросов: 26.