Вопрос по iptables (который раз) ищу неделю

[bo0s]

Суть вопроса есть сохранненые правила из ubuntu 8.04 пытаюсь их использовать в 10.04 не открывает порт 3389 и все тут
вот сами правила  192.168.0.66 - IP терминального сервера x.x.x.x - внешний ip белый 
Главная задача стоит пробросить RDP чтобы подключаться через инет!

# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*filter
:INPUT ACCEPT [637471:491862509]
:FORWARD ACCEPT [28656:8437131]
:OUTPUT ACCEPT [545126:144528009]
-A FORWARD -d 192.168.0.66/32 -p tcp -m tcp --dport 3389:4899 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6025 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 8083 -j ACCEPT
COMMIT
# Completed on Thu Jul  2 19:14:39 2009
# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*nat
:PREROUTING ACCEPT [20501:1279597]
:POSTROUTING ACCEPT [10148:651287]
:OUTPUT ACCEPT [9974:641916]
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 3389:4899 -j DNAT --to-destination 192.168.0.66
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 110 -j DNAT --to-destination 94.100.177.6
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 25 -j DNAT --to-destination 94.100.177.1
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 6025 -j DNAT --to-destination 94.103.89.126:25
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 6110 -j DNAT --to-destination 94.103.89.126:110
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 8083 -j DNAT --to-destination 217.19.109.18:8083
-A POSTROUTING -d 94.100.177.1/32 -p tcp -m tcp --dport 25 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 94.100.177.6/32 -p tcp -m tcp --dport 110 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 94.103.89.126/32 -p tcp -m tcp --dport 110 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 94.103.89.126/32 -p tcp -m tcp --dport 25 -j SNAT --to-source X.X.X.X
-A POSTROUTING -d 217.19.109.18/32 -p tcp -m tcp --dport 8083 -j SNAT --to-source X.X.X.X
COMMIT
# Completed on Thu Jul  2 19:14:39 2009
# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*mangle
:PREROUTING ACCEPT [717292:507009341]
:INPUT ACCEPT [638420:492135958]
:FORWARD ACCEPT [74799:14593667]
:OUTPUT ACCEPT [546106:144971323]
:POSTROUTING ACCEPT [622262:159671257]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Jul  2 19:14:39 2009

запускаю скриптом
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables-restore </etc/iptables_020709

Пользователь решил продолжить мысль 30 Марта 2011, 10:25:05:Да еще уточнения
eth0 - сеть
ppp0- dsl на том же интерфейсе через хаб
есть еще второй eth1- но на нем другой инет будет (раньше все без него работало)

[AnrDaemon]

Код: [Выделить]

*nat
:PREROUTING ACCEPT [1007799:58568291]
:POSTROUTING ACCEPT [259594:38308487]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
-A POSTROUTING -o eth1 -j SNAT --to-source 83.220.60.36
COMMIT
*filter
:FORWARD DROP [6201:260354]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
Сравнивай, ищи отличия.

[bo0s]

Честно я не большой знаток этого дела (администрирования) если не трудно ч попробую расписать как я читаю эти правила если не трудно поправьте пож-та

-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
пакеты принадлежащие установленным соединениям (или связанные с ними ) пропускаем

-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
если интерфейс входящий eth1 протокол tcp и порт 4899 и новое соединение то пересылаем на 192.168.17.2:4899
(здесь я пробую для себя интерфейс ppp0 порт 3389 и пересылаю 192.168.0.66:3389
-A POSTROUTING -o eth1 -j SNAT --to-source 83.220.60.36
тут я точно не понял как у себя нарисовать

COMMIT
*filter
:FORWARD DROP [6201:260354]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
Пользователь решил продолжить мысль 30 Марта 2011, 11:15:37:вобщем подправил вот так

# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*filter
:INPUT ACCEPT [637471:491862509]
:FORWARD ACCEPT [28656:8437131]
:OUTPUT ACCEPT [545126:144528009]
-A FORWARD -d 192.168.0.66/32 -p tcp -m tcp --dport 3389:4899 -j ACCEPT
COMMIT
# Completed on Thu Jul  2 19:14:39 2009
# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*nat
:PREROUTING ACCEPT [1007799:58568291]
:POSTROUTING ACCEPT [259594:38308487]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.66:3899
-A POSTROUTING -o ppp0 -j SNAT --to-source X.X.X.X
COMMIT
*filter
:FORWARD DROP [6201:260354]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Thu Jul  2 19:14:39 2009
# Generated by iptables-save v1.4.1.1 on Thu Jul  2 19:14:39 2009
*mangle
:PREROUTING ACCEPT [717292:507009341]
:INPUT ACCEPT [638420:492135958]
:FORWARD ACCEPT [74799:14593667]
:OUTPUT ACCEPT [546106:144971323]
:POSTROUTING ACCEPT [622262:159671257]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Jul  2 19:14:39 2009

nmap говорит не открыт порт?!
я может уже загоняюсь ?! (скорее всего) но если не трудно прямо в моем примере как подправить не подскажете?!

[AnrDaemon]

Первый (кривой) *filter не нужен, он у тебя перезаписывается (правильным) вторым.
Откуда nmap делаешь?
Ну а подробности - man iptables и http://www.docum.org/docum.org/kptd/
Пользователь решил продолжить мысль 30 Марта 2011, 11:34:17:Я бы, наверное, сделал так:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.66:3899
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*mangle
:FORWARD ACCEPT [0:0]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*filter
:FORWARD DROP [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
Только не уверен, что это прямо так можно загонять в таблицу. Если у вас нет прямого доступа к консоли сервера, лучше не экспериментируйте.

Главная идея в том, чтобы первыми пропускать заведомо годные пакеты
-m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
тогда не получится так, что по десятому разу заначеный порт переначивать будет.
Пользователь решил продолжить мысль 30 Марта 2011, 11:37:25:Стоооп, а на терминальном сервер дефолтный маршрут куда показывает?

[bo0s]

есть доступ к консоли!
мануалы уже устал читать если честно! НЕДЕЛЮ ЧИТАЮ НО НИЧЕГО НЕ РАБОТАЕТ?!
nmap зарускал так nmap localhost и по внешнему ip пробовал ?! нет там нужного порта!

[AnrDaemon]

Кричать не надо
Должно работать. Если не работает - tcpdump в зубы.
И проверять надо снаружи, у вас же стоит -i ppp0, чего вы ждёте на локалхосте?

[bo0s]

Ну помогите тогда решить вопрос по другому
есть два интерфейса eth1 - инет  и eth0 локалка
проблема та же перекинуть соединение по rdp с eth1 на eth0 ?
Честно буду рад любому совету. Уже в голове все путается.
Пробовал nmap online тот же рез-т

[AnrDaemon]

Всё точно так же.
Включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

Сбрасываем настройки фаервола.

iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t filter -F
iptables -t filter -X

Отсекаем неинтересное.

iptables -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Разрешаем нужное.
iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Включаем перенаправление.

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.66:3899

Всё, никаких хитростей...
Не работает?
tcpdump -i eth1 tcp port 3389
и смотрите, в каких направлениях у вас вообще пакеты ходят.

[bo0s]

Спасибо вроде порт открылся проверю отпишусь.
Пользователь решил продолжить мысль 31 Марта 2011, 10:03:32:нет теперь порт открыт а обратно не отдает ничего? только в одном направлении ходят пакеты.

Пользователь решил продолжить мысль 31 Марта 2011, 11:03:45:привожу свой iptables-save

# Generated by iptables-save v1.4.4 on Thu Mar 31 10:59:52 2011
*mangle
:PREROUTING ACCEPT [21958:5592902]
:INPUT ACCEPT [21534:5570273]
:FORWARD ACCEPT [364:19569]
:OUTPUT ACCEPT [23410:5711255]
:POSTROUTING ACCEPT [23811:5733424]
-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Mar 31 10:59:52 2011
# Generated by iptables-save v1.4.4 on Thu Mar 31 10:59:52 2011
*nat
:PREROUTING ACCEPT [283:18969]
:POSTROUTING ACCEPT [214:12982]
:OUTPUT ACCEPT [217:13207]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.66:3389
-A PREROUTING -d X.X.X.X/32 -p tcp -m tcp --dport 3389:4899 -j DNAT --to-destination 192.168.0.66
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source X.X.X.X
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m tcp --dport 25 -j SNAT --to-source X.X.X.X
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -p tcp -m tcp --dport 110 -j SNAT --to-source X.X.X.X
COMMIT
# Completed on Thu Mar 31 10:59:52 2011
# Generated by iptables-save v1.4.4 on Thu Mar 31 10:59:52 2011
*filter
:INPUT ACCEPT [10774:4372245]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [11676:1380109]
-A INPUT -s 192.168.0.0/24 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.66/32 -p tcp -m tcp --dport 3389:4899 -j ACCEPT
-A OUTPUT -d 192.168.0.0/24 -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Mar 31 10:59:52 2011

я еще тут пытался проброс почты сразу тоже сделать
tcpdump показывает что на rdp пакеты приходят но не возвращаются