Настройка Фаервола Затык на пробросах портов

[Mam(O)n]

Всё правильно было. Пакеты должны уходить на 192.168.1.1

А на самом узле 192.168.1.1 шлюз по умолчанию прописан 192.168.1.2?

[Гарри Кашпировский]

Автор запутал всех. Конспиролог
iptables -t nat -A PREROUTING -p tcp -m -tcp ! -s 192.168.1.0/24 --dport 3389 -j DNAT --to-destination 192.168.1.1:3389

[Mam(O)n]

ТС, чтобы сузить поле поиска, можно посмотреть, уходят ли пакеты на 192.168.1.1:3389 с помощью sudo tcpdump -ni eth0 host 192.168.1.1 and tcp port 3389

[Unreg]

Код: [Выделить]

# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
#-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 95.143.210.198
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Wed Oct  6 13:57:18 2010

[genialen]

Всё правильно было. Пакеты должны уходить на 192.168.1.1

А на самом узле 192.168.1.1 шлюз по умолчанию прописан 192.168.1.2?

Блиииин как я мог только вчера читал о том что шлюз долженбыть. ай.  ОК вечером попробую так как сейчас не могу он вработе клиенты отвалятся итд итп.

ТС, чтобы сузить поле поиска, можно посмотреть, уходят ли пакеты на 192.168.1.1:3389 с помощью sudo tcpdump -ni eth0 host 192.168.1.1 and tcp port 3389

Вот то что показывает на данный момент с неисправленным шлюзом!

Код: [Выделить]

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:15:16.958766 IP 95.143.210.197.63658 > 192.168.1.1.3389: Flags [S], seq 3702256057, win 65535, options [mss 1456,nop,nop,sackOK], length 0
14:15:19.945815 IP 95.143.210.197.63658 > 192.168.1.1.3389: Flags [S], seq 3702256057, win 65535, options [mss 1456,nop,nop,sackOK], length 0
14:15:25.980243 IP 95.143.210.197.63658 > 192.168.1.1.3389: Flags [S], seq 3702256057, win 65535, options [mss 1456,nop,nop,sackOK], length 0

Я этим никогда не пользовался!    ИСПРАВЛЮСЬ. Только скажите по каким тут параметрам вы понимаете прошли пакеты или нет 

[Mam(O)n]

Да, видно, пошли SYN пакеты, которые запрашивают соединение, а вот ответа от 192.168.1.1 нет, т.к. скорее всего он не знает, что отвечать надо обратно через 192.168.1.2...

[Unreg]

на 192.168.1.1
>route add 95.143.210.197 mask 255.255.255.255 192.168.1.2

??

[Mam(O)n]

Только скажите по каким тут параметрам вы понимаете прошли пакеты или нет  

А само наличие данного вывода говорит о том, что пакеты с eth0 по направлению к 192.168.1.1 ушли.

И да, я бы рекомендовал заполнить таблицы iptables по образу и подобию того, что выложил Unreg постом #18 #23

[Unreg]

# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
#-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 95.143.210.198
COMMIT
# Completed on Wed Oct  6 13:57:18 2010
# Generated by iptables-save v1.4.2 on Wed Oct  6 13:57:18 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Wed Oct  6 13:57:18 2010

пардон, iptables-save|iptables-restore не часто пользуюсь

[genialen]

на 192.168.1.1
>route add 95.143.210.197 mask 255.255.255.255 192.168.1.2

??

ааааа круть работает! а! спасибо огромнейшее дело было не в бобине.........

[Unreg]

тогда
route delete 95.143.210.197 mask 255.255.255.255 192.168.1.2
route add 95.143.210.197 mask 255.255.255.255 192.168.1.2 -p

проблема была как в настройке статической маршрутизации, и в DNAT, и в настройке прохождения транзитного трафика

[Mam(O)n]

route add 95.143.210.197 mask 255.255.255.255 192.168.1.2 -p

И работать будет только с 95.143.210.197

[Unreg]

да
Пользователь решил продолжить мысль [time]Wed Oct  6 14:49:28 2010[/time]:-p добавит сохранение этого маршрута при перезагрузке ПК c адресом интерфейса 192.168.1.1
Пользователь решил продолжить мысль [time]Wed Oct  6 15:14:29 2010[/time]:Вообщем организация доступа в Интернет и к RDP серверам у ТС заставляет пошевелить мозгами и ещё раз глянуть в документацию к iptables...
Пользователь решил продолжить мысль [time]Wed Oct  6 15:18:42 2010[/time]:Т.С. у Вас 95.143.210.198 должен быть основным или запасным шлюзом для 192.168.1.0/24 ?
 

[genialen]

у меня будет два шлюза, но пока только тесты и наладка. До планирования что и как со шлюзами еще далеко.