Помогите перетащить порт

[a_efimov]

Дано:
сервак, на котором запущена виртуальная машина, в которую надо попасть через rdp. С самого сервака могу подключиться к rdp, а порт не бросается. Помогите!!

IP сервера 192.168.0.100
IP виртуалки 192.168.122.93

sudo iptables -L -t nat --line-numbers

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  anywhere             seguro.local         tcp dpt:3389 to:192.168.122.93

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
2    MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
3    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24   

sudo iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*nat
:PREROUTING ACCEPT [349:135723]
:INPUT ACCEPT [46:7134]
:OUTPUT ACCEPT [4520:310887]
:POSTROUTING ACCEPT [4516:310520]
-A PREROUTING -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.122.93
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Apr  3 22:28:34 2013
# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*mangle
:PREROUTING ACCEPT [192384:47610695]
:INPUT ACCEPT [191553:47390478]
:FORWARD ACCEPT [394:47866]
:OUTPUT ACCEPT [190801:25627823]
:POSTROUTING ACCEPT [191665:25725873]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Apr  3 22:28:34 2013
# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*filter
:INPUT ACCEPT [191538:47387642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [190801:25627823]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Apr  3 22:28:34 2013

Разве так не правильно??

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -p tcp -d 192.168.0.100 --dport 3389 -j DNAT --to-destination 192.168.122.93


[fisher74]

правильно
А что показывает sysctl net.ipv4.ip_forward?
Пользователь решил продолжить мысль 03 Апреля 2013, 21:06:47:Хотя можете не показывать - там будет единица.
Покажите лучше все правила (iptables-save) и расскажите, как Вы определили, что он не "бросился"?

[a_efimov]

правильно
А что показывает sysctl net.ipv4.ip_forward?
Пользователь решил продолжить мысль 03 Апреля 2013, 21:06:47:Хотя можете не показывать - там будет единица.
Покажите лучше все правила (iptables-save) и расскажите, как Вы определили, что он не "бросился"?

простите за ламерский вопрос.....а как его показать??

Что не бросился я понял, когда с соседнего компа пытался подключиться к rdp по адресу 192.168.0.100
Я поковырялся в сетевых инструментах, кстати, и увидел, что у меня порта 3389 нет среди открытых

[AnrDaemon]

a_efimov, вы пост вообще прочитали? Вам сказали, как показать. Открытым текстом.

[a_efimov]

a_efimov, вы пост вообще прочитали? Вам сказали, как показать. Открытым текстом.

sysctl net.ipv4.ip_forward показывает единицу
Пользователь решил продолжить мысль 03 Апреля 2013, 21:39:52:В сетевых инструментах вот это:

Код: [Выделить]

Порт Состояние Сервис
22/tcp open ssh
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
631/tcp open ipp
1947/tcp open unknown
3306/tcp open mysql
5900/tcp open vnc


[AnrDaemon]

Хотя можете не показывать - там будет единица.
Покажите лучше все правила (iptables-save) и расскажите, как Вы определили, что он не "бросился"?

[a_efimov]

Хотя можете не показывать - там будет единица.
Покажите лучше все правила (iptables-save) и расскажите, как Вы определили, что он не "бросился"?

Прошу прощения. Делал не под рутом. Было пусто))

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*nat
:PREROUTING ACCEPT [349:135723]
:INPUT ACCEPT [46:7134]
:OUTPUT ACCEPT [4520:310887]
:POSTROUTING ACCEPT [4516:310520]
-A PREROUTING -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.122.93
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Apr  3 22:28:34 2013
# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*mangle
:PREROUTING ACCEPT [192384:47610695]
:INPUT ACCEPT [191553:47390478]
:FORWARD ACCEPT [394:47866]
:OUTPUT ACCEPT [190801:25627823]
:POSTROUTING ACCEPT [191665:25725873]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Apr  3 22:28:34 2013
# Generated by iptables-save v1.4.12 on Wed Apr  3 22:28:34 2013
*filter
:INPUT ACCEPT [191538:47387642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [190801:25627823]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Apr  3 22:28:34 2013


[a_efimov]

Никак??

[a_efimov]

Никак??

Совсем никак??

[ArcFi]

Виртуальная сеть через NAT или роутингом?
Проверьте вендовый фаервол, 3389/tcp м.б. только для LocalSubnet.

[a_efimov]

Виртуальная сеть через NAT или роутингом?
Проверьте вендовый фаервол, 3389/tcp м.б. только для LocalSubnet.

Виртуальная сеть через НАТ вроде. Файрволла нет. Windows чистая. С хоста нормально подключаюсь.

[ArcFi]

Виртуальная сеть через НАТ вроде.

Пробуйте сделать через роутинг.

Файрволла нет. Windows чистая.

Что значит "нет", выключен что ли?
На чистой венде он как раз есть.

С хоста нормально подключаюсь.

Логично, они в одной сети.

[a_efimov]

Виртуальная сеть через НАТ вроде.

Пробуйте сделать через роутинг.

Файрволла нет. Windows чистая.

Что значит "нет", выключен что ли?
На чистой венде он как раз есть.

С хоста нормально подключаюсь.

Логично, они в одной сети.

А как сделать через роутинг??
Файрволл я сразу после установки вырубаю всегда))

[AnrDaemon]

А как сделать через роутинг??

-t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination VM_IP

Файрволл я сразу после установки вырубаю всегда))

И, по-видимому, ты этим гордишься?

[a_efimov]

А как сделать через роутинг??

-t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination VM_IP

Файрволл я сразу после установки вырубаю всегда))

И, по-видимому, ты этим гордишься?

Все равно не подключается...