проброс портов rdp

[shaulyn]

парни подскажите что не так сделал правило для подключения к серверу не работает что-то

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
# iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 0.0.0.0/0 -m multiport --ports 1234,3389 -j ACCEPT   c этим правилом тоже не работает
 iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389


[Makedonets]

тоже недавно искал ответ на этот вопрос и нашел!
У меня заработало по следующим правилам:

Код: [Выделить]

IPTABLES='/usr/sbin/iptables'
IP_EXT=внешний адрес роутера
IP_INT=внутренний адрес роутера
SRDP_PORT=внешний порт на руотере
DRDP_PORT=реальный порт на RDP сервере
RDP_HOST_IP=ip RDP хоста

$IPTABLES -t nat -I PREROUTING --dst $IP_EXT -p tcp --dport $SRDP_PORT -j DNAT --to-destination $RDP_HOST_IP:$DRDP_PORT

$IPTABLES -t nat -I POSTROUTING -p tcp --dst $RDP_HOST_IP --dport $DRDP_PORT -j SNAT --to-source $IP_INT

$IPTABLES -t nat -I OUTPUT --dst $IP_EXT -p tcp --dport $SRDP_PORT -j DNAT --to-destination $RDP_HOST_IP:$DRDP_PORT

$IPTABLES -I FORWARD -i $IP_INT --dst $RDP_HOST_IP -j ACCEPT


[mapki3]

iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 172.30.190.246
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.30.184.2

172.30.184.2 Сюда РДП прокидается
172.30.190.246 а сюда порт Радмина извне идет.

[shaulyn]

iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 172.30.190.246
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.30.184.2

172.30.184.2 Сюда РДП прокидается
172.30.190.246 а сюда порт Радмина извне идет.

если ты не заметил у меня точно такиеже привала

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

[fisher74]

На машине с rdp какой дефолтный шлюз? 111.111.111.111 пингуется с неё?

[shaulyn]

На машине с rdp какой дефолтный шлюз? 111.111.111.111 пингуется с неё?

да пинги идут, дефолтный шлюз 192,168,0,1 ( в интернете 111,111,111,111) подключиться по рдп не могу, правила то правильно написал?

[fisher74]

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT

Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

[shaulyn]

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT

Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389

[Makedonets]

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT

Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389

Я тебе написал рабочий вариант, чего тут еще обсуждать!

[shaulyn]

iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT

Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.

Код: [Выделить]

iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389

Я тебе написал рабочий вариант, чего тут еще обсуждать!

спасибо, но хочу чтобы ломились не на стандартный порт

[Makedonets]

блин, дак ты и указывай порт какой нужен!

Код: [Выделить]

$IPTABLES -t nat -I PREROUTING --dst 141.внешний.айпишник.138 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

$IPTABLES -t nat -I POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 192.168.0.3-это внутренний айпишник

$IPTABLES -t nat -I OUTPUT --dst 141.внешний.айпишник.138 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

$IPTABLES -I FORWARD -i 192.168.0.3 --dst 192.168.0.2 -j ACCEPT

Почитай внимательно первое мое сообщение, подставь свои параметры и все

[shaulyn]

все разобрался порт 1234 какие бы правила не писал не хочет работать, порт 2222 и все сразу работает даже с моими правилами

[fisher74]

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389

Нужно представлять как пакет будет идти по цепочкам, а не хватать середину пути и пытаться что-то увидеть.
У Вас же сначала идёт правило по изменению destination адреса и порта

iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

А потом уже Вы его разрешаете пройти, указанным мной правилом. И там будет адресатом выступать 192.168.0.2 на порт 3389

А порт 1234 возможно не работает по политике провайдера
Пользователь решил продолжить мысль 29 Марта 2011, 12:09:15:Кстати, если дефолтным правилом FORWARD выставлен ACCEPT. то второе правило лишнее по своей сути.

[shaulyn]

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389

Нужно представлять как пакет будет идти по цепочкам, а не хватать середину пути и пытаться что-то увидеть.
У Вас же сначала идёт правило по изменению destination адреса и порта

iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

А потом уже Вы его разрешаете пройти, указанным мной правилом. И там будет адресатом выступать 192.168.0.2 на порт 3389

А порт 1234 возможно не работает по политике провайдера
Пользователь решил продолжить мысль 29 Марта 2011, 12:09:15:Кстати, если дефолтным правилом FORWARD выставлен ACCEPT. то второе правило лишнее по своей сути.

как раз не ACCEPT ну я разобрался спасибо за помощь =)

[phantom-d]

У меня такая ситуация, проброс RDP был сделан и работал, но... вдруг перестал
есть роутер с него идет на сервер, а тот раздает инет.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon May 16 14:32:56 2011
*nat
:PREROUTING ACCEPT [102845:7515805]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1407785:87166861]
-A PREROUTING -i eth4 -p tcp -m tcp --dport 11111 -j DNAT --to-destination 192.168.34.200:3389
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Mon May 16 14:32:56 2011
# Generated by iptables-save v1.4.4 on Mon May 16 14:32:56 2011
*filter
:INPUT ACCEPT [16485763:10639686855]
:FORWARD ACCEPT [62085:3687956]
:OUTPUT ACCEPT [11987074:5571091639]
-A FORWARD -d 192.168.34.200/32 -p udp -m udp --dport 11111 -j ACCEPT
-A FORWARD -d 192.168.34.200/32 -p tcp -m tcp --dport 11111 -j ACCEPT
-A FORWARD -s 192.168.34.0/24 -i eth1 -o eth4 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon May 16 14:32:56 2011
# Generated by iptables-save v1.4.4 on Mon May 16 14:32:56 2011
*mangle
:PREROUTING ACCEPT [58378:43005008]
:INPUT ACCEPT [8414:1209452]
:FORWARD ACCEPT [49964:41795556]
:OUTPUT ACCEPT [7477:3768007]
:POSTROUTING ACCEPT [57442:45563641]
COMMIT

на роутере проброс до сервера сделан.
снаружи

(Нажмите, чтобы показать/скрыть)

# nmap -P0 X.X.X.X -p 11111

Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-22 17:08 MSD
Interesting ports on X.X.X.X:
PORT      STATE  SERVICE
11111/tcp closed unknown

а из локалки:

(Нажмите, чтобы показать/скрыть)

# nmap -P0 X.X.X.X -p 11111

Starting Nmap 5.21 ( http://nmap.org ) at 2011-06-22 17:08 MSD
Nmap scan report for X.X.X.X
Host is up (0.00043s latency).
PORT      STATE SERVICE
11111/tcp open  unknown

(X.X.X.X - внешний IP)