Приветствую. Осваиваюсь потихоньку с iptables.
Вопрос - есть сеть локальная до шлюза с iptables. В ней есть машина с rdp сервером. В этой же сети есть машины которым бы мне хотелось бы прекратить возможность доступа к rdp серверу, но при этом оставить их в той же подсети. Хочу я это сделать именно через iptables. Но по скольку это все происходит до шлюза, то и запросы на рдп идут напрямую не заходя на шлюз. Что я пробовал, так это проксировать рдп сервер через шлюз и уже после этого ограничить к нему доступ, но или лыжи не едут или я не понимаю. Вот пример:
$IPT -A PREROUTING -t nat --dst 3.3.3.3 -p tcp --dport 3389 -j DNAT --to-destination 1.1.1.1:3389
$IPT -A POSTROUTING -t nat --dst 1.1.1.1 -p tcp --dport 3389 -j SNAT --to-source 3.3.3.3
$IPT -A OUTPUT -t nat --dst 3.3.3.3 -p tcp --dport 3389 -j DNAT --to-destination 3.3.3.3:3389
Где 1.1.1.1 реальный адрес рдп сервера, а 3.3.3.3 придуманный "отбалды". При этом само проксирование работает на ура, если ломануться с локальных машин на адрес 3.3.3.3 то подключение к рдп серверу устанавливается. Но вот отфильтровать это у меня никак не получается, вот пример:
$IPT -A INPUT -i $LAN1 -s 1.1.1.219 -p tcp --dport 3389 -j DROP
Где $LAN1 это интерфейс, что смотрит в локальную сеть, 1.1.1.219 ip нежелательной машины. В общем доступ как был так и остается. Я уверен, что подобную фильтрацию можно реализовать, просто у меня мало знаний. Буду рад всем совета спасибо.