Подключение из локалки к рабочему столу в

[ignat-by]

В DNAT, нет.

Жаль. А как-нибудь это обойти можно ?
Пользователь решил продолжить мысль 28 Мая 2010, 12:48:38:

если не сложно выложи плиз скрипт с  правилами iptables  и  конфиг networks

Вот:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed May 26 15:21:39 2010                                                                                   
*nat
:PREROUTING ACCEPT [150:14459]
:POSTROUTING ACCEPT [181:19090]
:OUTPUT ACCEPT [148:17128]

-F PREROUTING
-F POSTROUTING
-F OUTPUT

#FTP в локалку
-A PREROUTING -p tcp -m multiport --dports 20,21,49152:65534 -j ACCEPT

#Подключение к рабочему столу сервера с маскировкой портов
-A PREROUTING -p tcp -i ppp0 --dport 45678 -j DNAT --to-destination 192.168.3.8:3389
-A PREROUTING -p tcp -i eth2 --dport 45678 -j DNAT --to-destination 192.168.3.8:3389
-A POSTROUTING -p tcp --dst 192.168.3.0/24 --dport 3389 -j MASQUERADE
-A POSTROUTING -p tcp -o ppp0 -d 94.190.0.0/16 --dport 3389 -j MASQUERADE

#Проброс порта для банка
-A PREROUTING -p tcp --dport 9091 -j DNAT --to-destination 192.168.3.76:9091
-A POSTROUTING -p tcp --dst 91.212.57.67 -o ppp0 -j MASQUERADE

#Проброс порта для UTM второго (неосновного) провайдера
-A PREROUTING -i eth2 -p tcp --dport 11758 -j DNAT --to-destination 192.168.3.2:11758
-A PREROUTING -i eth2 -p tcp --dport 11758 -j DNAT --to-destination 192.168.3.44:11758
-A POSTROUTING -p tcp --dst 10.0.0.1 -o eth2 -j MASQUERADE

#Подключение к рабочим столам компов в сети первого (основного) провайдера
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389  -j DNAT --to-destination 94.190.112.73
-A POSTROUTING -p tcp --dst 94.190.112.73 --dport 3389 -o ppp0 -j MASQUERADE

-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE

-A POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -o eth2 -j MASQUERADE

COMMIT
# Completed on Wed May 26 15:21:39 2010
# Generated by iptables-save v1.4.4 on Wed May 26 15:21:39 2010
*filter
:INPUT ACCEPT [26669:7340977]
:FORWARD ACCEPT [207:12708]
:OUTPUT ACCEPT [3210:781400]

-F INPUT
-F FORWARD
-F OUTPUT

#По умолчанию запрещаем весь транзит
-P FORWARD DROP

#Устанавливаем правила для самого шлюза
-P INPUT DROP
-P OUTPUT ACCEPT

#Разрешаем уже установленные соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#Открываем SSH
-A INPUT -p tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT

#Открываем порт для банка
-A INPUT -p tcp --dport 9091 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp --sport 9091 -j ACCEPT

#Открываем порт для UTM
-A INPUT -p tcp --dport 11758 -j ACCEPT

#SSL
-A INPUT -p tcp -m multiport --dports 443 -j ACCEPT
-A FORWARD -o ppp0 -p tcp --dport 443 -j ACCEPT

#Открываем порты скопом
-A INPUT -p tcp -m multiport  --dports 47,67,80,3389,5190,9091,11758,45678 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m multiport --dports 47,67,80,5190,3389,9091,45678 -j ACCEPT
-A FORWARD -o eth2 -p tcp -m multiport --dports 3389,11758 -j ACCEPT

#Разрешаем пинг наружу
-A INPUT -p icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p icmp --icmp-type 8 -j ACCEPT

#Открываем порт для DNS
-A INPUT  -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT  -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A FORWARD -p udp --dport 53 -j ACCEPT

#FTP
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 445 -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 21 -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 20 -j ACCEPT

#Открываем порты для почты
-A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 110 -j ACCEPT

#ICQ/Miranda
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 5190 -j ACCEPT

#Подключение к удаленному столу без подмены порта
-A FORWARD -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 3389 -j ACCEPT
-A FORWARD -o eth2 -m state --state NEW,RELATED,ESTABLISHED -p tcp --dport 3389 -j ACCEPT

#Разрешить DNAT траффик для проброса портов
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

#Настройки при установке системы( (сделаны самой системой)
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed May 26 15:21:39 2010
# Generated by iptables-save v1.4.4 on Wed May 26 15:21:39 2010
*mangle
:PREROUTING ACCEPT [26966:7362269]
:INPUT ACCEPT [26731:7347885]
:FORWARD ACCEPT [208:12792]
:OUTPUT ACCEPT [3273:787962]
:POSTROUTING ACCEPT [3763:841314]

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

COMMIT
# Completed on Wed May 26 15:21:39 2010

interfaces:

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
iface eth1 inet dhcp
dns-nameserver 94.190.112.2

auto eth0
iface eth0 inet static
address 192.168.3.243
netmask 255.255.255.0

auto eth2
iface eth2 inet static
address 212.220.70.28
netmask 255.255.255.0
#gateway 212.220.70.254
#nameserver 212.220.70.254

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider dsl-provider

post-up iptables-restore < /home/iptables.rules

[Гарри Кашпировский]

Жаль. А как-нибудь это обойти можно ?

Смотря для каких задач оно вам нужно, впринципе есть такой проект - http://linux-igd.sourceforge.net/

[ignat-by]

Жаль. А как-нибудь это обойти можно ?

Смотря для каких задач оно вам нужно

Да у меня одна цель - позволить любому компу из локальной сети прицепиться к рабочему столу любого компа из сети провайдера.

впринципе есть такой проект - http://linux-igd.sourceforge.net/

Проект, возможно, и интересный, но меня смущают две проблемы: дата последней версии и то, что с английским я не дружу - в школе и институте учил немецкий, а сейчас и его забыл.

[mitox]

А если попробовать разрешить транзит из локалки до шлюза и обратно?

#По умолчанию запрещаем весь транзит
-P FORWARD DROP

далее вижу

#Разрешаем уже установленные соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Но в нашем случае подключение в RDP ещё не установленно, может быть из за этого коннект до рдп и не идёт.

Попробуй примерно так:

$IPT -A FORWARD -i $LOCAL -o $SV -j ACCEPT
$IPT -A FORWARD -o $LOCAL -i $SV -j ACCEPT

$SV мой провайдер

Могу ошибаться ибо в iptables  не силён, так что не ругать)

[Гарри Кашпировский]

В репозитарии Lucid доступен, другое дело, что это дырка в безопасности сетки.

Код: [Выделить]

myrouter:~$ apt-cache search linux-igd
linux-igd - Linux UPnP Internet Gateway Device
Я, тоже изучал немецкий и тоже его забыл, однако с туевой хучей переводчиков, мне кажется, это не проблема.
С досупностью удалённого стола, достаточно маскарадинга в сеть провайдера, хотя и с динамической маршрутизацией, возможно решаемо, обратись к провайдеру, но скорее всего на такой шаг он не пойдёт. Поэтому все же стоит разобраться с iptables, в части ограничений и фильтрации траффика, если, как ты утверждаешь, на Win-сервере, это работает.
mitox верно про транзит отметил, там если честно дофига лишнего, поэтому стоит для начала разрешить всё, а потом уже по мере надобности ограничивать.

[ignat-by]

 Хм, проделал эксперимент - взял ещё один системник,  установил ubuntu server 10.04, т.е. получил совершенно чистую систему. Затем поднял интерфейсы и настроил подключение к провайдерам. Затем разрешил форвардинг через sysctl -w net.ipv4.ip_forward=1 и прописал iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE. В результате на компах в локалке интернет появился (через ppp0), но рабочие столы так и остались недоступны ! Вот сижу и репу чешу  - неужели чего на уровне ядра системы недоверчено и нет полного доступа из локалки ?

[Гарри Кашпировский]

А эти самые рабочие столы доступны точно через ppp0?
Хосты машин отвечают на эхо запросы?
Трассировки проходят, телнеты подключаются к нужному порту?

[ignat-by]

А эти самые рабочие столы доступны точно через ppp0?
Хосты машин отвечают на эхо запросы?
Трассировки проходят, телнеты полключаются к нужному порту?

При виндовом шлюзе - на все вопросы ДА
При убунтовском шлюзе - на все вопросы НЕТ, даже если все разрешить (т.е. ничего не запрещать специально).
прям мистика какая-то...

[Гарри Кашпировский]

Не бывает такого.
У тебя задача получить доступ к ресурсам провайдера eth1?

[ignat-by]

Не бывает такого.

Увы, практика доказывает обратное. Причем упорно доказывает.

У тебя задача получить доступ к ресурсам провайдера eth1?

Именно. Только по этому соединению поднимается ppp0 и именно через ppp0 мне и надо получить доступ к ресурсам провайдера.

[Гарри Кашпировский]

Ничего подобного. Через eth1 поднимается ppp0, но это не отменяет того факта, что ресурсы доступны через eth1, иначе зачем ему IP присваивается? Так что это никакая не мистика, а маршрутизация плюс
неполные правила ipt, по которым нет доступа к eth1.
Есть мнение, что Win-сервер получает маршруты от DHCP, а *nix нет.

[ignat-by]

Но eth1 присваивается 172.16.197.73, а ppp0 имеет 94.190.119.67. При этом 94.190.119.67 статический и виден в интернете, в т.ч. по нему из интернета можно зайти на комп. Все ресурсы имеют адрес 94.190.Х.Х. Если не поднять ppp0, то и доступ к ресурсам невозможен. Стало быть нужно пробиваться на ppp0, а не на eth1. Вроде так получается...

А вот в это: Win-сервер получает маршруты от DHCP, а *nix нет уже верится. Вот только как это обойти ?

[Гарри Кашпировский]

Я бы тебе предложил сравнить таблицу маршрутизации на win и на *nix, что бы точно убедиться, а не вериться-неверится И про трейсроутам смотри как оно идет и в win и в nix. Уверен, что маршруты отличаются.
Ну не бывает такого, что бы TCP/IP работал по-разному

[ignat-by]

Вот таблица маршрутов винды (ХР):



Вот таблица убунты:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
94.190.112.64   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.16.0.0      172.16.0.1      255.255.255.0   UG    0      0        0 eth1
212.220.70.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
10.190.0.0      212.220.70.254  255.255.0.0     UG    0      0        0 eth2
172.16.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth1
94.190.0.0      94.190.112.72   255.255.0.0     UG    0      0        0 ppp0
10.0.0.0        212.220.70.254  255.0.0.0       UG    0      0        0 eth2
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

Разница в ip интерфейсов, которые получают настройки по dhcp, т.к. используются разные аккаунты провайдера. Но в убунте эти ip не видны, т.к. используются названия интерфейсов.

Вот трассировка из винды:



Из убунты трассировка вообще не идет...

Вот сейчас и думаю, как бы таблицу маршрутов из винды повторить в убунте ?

[Гарри Кашпировский]

У тебя с маршрутами вообще какая-то лабуда
Маршрут

Код: [Выделить]

94.190.0.0      94.190.112.72   255.255.0.0     UG    0      0        0 ppp0Не нужен, потому, что есть

Код: [Выделить]

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0И откуда 94.190.112.72 взялся? Это адрес ppp0 ?
Аналогично с eth2
Маршрут

Код: [Выделить]

10.190.0.0      212.220.70.254  255.255.0.0     UG    0      0        0 eth2Не нужен, потому что есть

Код: [Выделить]

10.0.0.0        212.220.70.254  255.0.0.0       UG    0      0        0 eth2Ну и в концовке, вижу что 212.220.70.254 вообще в windows не пользуется.