RDP и iptables

[Not for ever]

Здравствуйте,
получил "белый" IP, прописал его в настройках сетевой, модем -- бриджем, интернет работает, прописал правила проброса 3389 порта для 2008 сервера, файерволлы поотключал, но подключиться по RDP к 2008 серверу не могу (в локальной сети удалённый доступ работает)...
Вопрос: Нужно ли в iptables, в данном случае, давать полный доступ в интернет по IP этому серверу, или достаточно правил для 3389 порта?..
Спасибо...

[skytrain]

Пардон... А куда смотрит дефолтный роут у 2008 сервера?
А куда смотрит дефолтный роут шлюза.
Для какого интерфейса правила проброса? Часом не для eth*

[fisher74]

сервер должен смочь ответить клиентам

[AnrDaemon]

модем -- бриджем

Нафига? …

[skytrain]

файерволлы поотключал

Судя по моему последнему опыту.... для протоколов удаленного администрирования это не гарант успешных подключений.

[fisher74]

Гарант успешных подключений, как и других целей - грамотная настройка системы в целом, а не обрывочные конвульсии в виде конфигурирования отдельных её элементов.

[Not for ever]

AnrDaemon,
Потому что со времён великого СССР телефонный кабель никто не менял!..)))

[fisher74]

Думаете от этого мопед в режиме роутера будет как-то по другому работать? Я Вас умоляю...

[Not for ever]

fisher74,
Да, пришлось разобрать по буквочкам некоторые правила и облазить кучу форумов, получилось таким образом:
$ipt -A INPUT -p tcp --dport $SRV_PORT -j ACCEPT
$ipt -A FORWARD -d $SRV_IP -p tcp --dport $SRV_PORT -j ACCEPT
$ipt -A FORWARD -s $SRV_IP -p tcp --sport $SRV_PORT -j ACCEPT
$ipt -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $SRV_IP:$SRV_PORT
$ipt -t nat -A POSTROUTING --dst $SRV_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $LAN_IP
$ipt -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $SRV_IP

Вопрос: Столкнулся с одной строкой вместо двух, как у меня, не пойму, как нумеровать строки?.. (Или как они считаются?..)
#$ipt -I FORWARD 1 -i $WAN_IFACE -o $LAN_IFACE -d $SRV_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

Вопрос2: В строке с INPUT можно указать внешний интерфейс, или это правило работает на оба интерфейса?..

Спасибо...



Пользователь решил продолжить мысль 19 Декабря 2014, 14:49:34:fisher74,

Думаете от этого мопед в режиме роутера будет как-то по другому работать? Я Вас умоляю...

После нескольких обрывов или замоканий и вызовов "влкючить" на выходных, это стало самым удобным вариантом...)))

[fisher74]

Да, пришлось разобрать по буквочкам некоторые правила и облазить кучу форумов, получилось таким образом:

Плохо разобрались

$ipt -A INPUT -p tcp --dport $SRV_PORT -j ACCEPT
$ipt -A FORWARD -d $SRV_IP -p tcp --dport $SRV_PORT -j ACCEPT
$ipt -A FORWARD -s $SRV_IP -p tcp --sport $SRV_PORT -j ACCEPT
$ipt -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $SRV_IP:$SRV_PORT
$ipt -t nat -A POSTROUTING --dst $SRV_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $LAN_IP
$ipt -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $SRV_IP

Выделенная строка, скорее всего, лишняя. Если без неё не работает, значит некорректно работает маршрутизация.
Можно и с этим правилом, но считается костылём и создаёт огромные проблемы в случае траблшуттинга.

Вопрос: Столкнулся с одной строкой вместо двух, как у меня, не пойму, как нумеровать строки?.. (Или как они считаются?..)

Как это ни странно - считаются по порядку.
Только вот Iнсерт правил обычно используется для корректировки уже существующих правил. Для первичной загрузки правил использовать его считаю исключительной безграмотностью правилописателя.

Вопрос2: В строке с INPUT можно указать внешний интерфейс, или это правило работает на оба интерфейса?..

Изучите повнимательней на какой ветке работает цепочка INPUT и на вопрос сможете легко ответить сами.
Пользователь решил продолжить мысль [time]19 Декабрь 2014, 15:07:33[/time]:Выделите время, прочтите статью. Многое прояснится.
Там же и зоны ответственности цепочек в графическом виде можете изучить.
"Лучше день потерять, потом за 5 минут долететь" ©

[AnrDaemon]

AnrDaemon,
Потому что со времён великого СССР телефонный кабель никто не менял!..)))

При чём тут это? Вы вообще понимаете, какой бред несёте, или вам надо разжевать?