пробросить 3389 по iptables

[xeon_greg]

И все же интересно почку почему (наверное) у меня не получилось без MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.192.1:3389
iptables -t filter -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dst --src 192.168.192.1 --dport --sport 3389 -j SNAT --to-source 192.168.1.251 # или тут сам белый IP указывать надо

вот поэтому и не получилось

Пользователь решил продолжить мысль 06 Июля 2012, 15:15:33:

FORWARD что запретить совсем нужно?

вообще идеологически правильно пропускать только то , что нужно.
те. сначала все запрещаем, а потом разрешаем только то, что нужно.

[Borr]

огроменное спасибо!

[Borr]

Пользователь решил продолжить мысль 06 Июля 2012, 15:15:33:

FORWARD что запретить совсем нужно?

вообще идеологически правильно пропускать только то , что нужно.
те. сначала все запрещаем, а потом разрешаем только то, что нужно.
[/quote]

Пожалуйста подскажите мне еще, как в моем случае правильно блокировать все остальное и разрешить нужное (т.е. удаленный рабочий стол для 1-го и выход для 5-го и 6-го)?

[xeon_greg]

на мой взгляд так было бы правильней:

Код: [Выделить]

sudo su
iptables -P FORWARD DROP
iptables -A FORWARD -i eth1 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW -p tcp -d 192.168.192.1 --dport 3389 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -s 192.168.192.1 -p tcp --sport 3389 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.192.5 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.192.6 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.192.1:3389
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
естественно прибить все старые правила перед применением этих.