Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: проброс портов rdp  (Прочитано 15057 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
проброс портов rdp
« : 29 Март 2011, 10:31:03 »
парни подскажите что не так сделал правило для подключения к серверу не работает что-то
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
# iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 0.0.0.0/0 -m multiport --ports 1234,3389 -j ACCEPT   c этим правилом тоже не работает
 iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн Makedonets

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #1 : 29 Март 2011, 10:37:31 »
тоже недавно искал ответ на этот вопрос и нашел!
У меня заработало по следующим правилам:
IPTABLES='/usr/sbin/iptables'
IP_EXT=внешний адрес роутера
IP_INT=внутренний адрес роутера
SRDP_PORT=внешний порт на руотере
DRDP_PORT=реальный порт на RDP сервере
RDP_HOST_IP=ip RDP хоста

$IPTABLES -t nat -I PREROUTING --dst $IP_EXT -p tcp --dport $SRDP_PORT -j DNAT --to-destination $RDP_HOST_IP:$DRDP_PORT

$IPTABLES -t nat -I POSTROUTING -p tcp --dst $RDP_HOST_IP --dport $DRDP_PORT -j SNAT --to-source $IP_INT

$IPTABLES -t nat -I OUTPUT --dst $IP_EXT -p tcp --dport $SRDP_PORT -j DNAT --to-destination $RDP_HOST_IP:$DRDP_PORT

$IPTABLES -I FORWARD -i $IP_INT --dst $RDP_HOST_IP -j ACCEPT

Оффлайн mapki3

  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #2 : 29 Март 2011, 10:38:28 »
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 172.30.190.246
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.30.184.2

172.30.184.2 Сюда РДП прокидается
172.30.190.246 а сюда порт Радмина извне идет.

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #3 : 29 Март 2011, 10:40:43 »
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 172.30.190.246
iptables -t nat -I PREROUTING -d 194.44.166.130 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.30.184.2

172.30.184.2 Сюда РДП прокидается
172.30.190.246 а сюда порт Радмина извне идет.

если ты не заметил у меня точно такиеже привала
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #4 : 29 Март 2011, 10:52:01 »
На машине с rdp какой дефолтный шлюз? 111.111.111.111 пингуется с неё?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #5 : 29 Март 2011, 11:02:57 »
На машине с rdp какой дефолтный шлюз? 111.111.111.111 пингуется с неё?

да пинги идут, дефолтный шлюз 192,168,0,1 ( в интернете 111,111,111,111) подключиться по рдп не могу, правила то правильно написал?
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #6 : 29 Март 2011, 11:22:46 »
Цитировать
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.
iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #7 : 29 Март 2011, 11:36:20 »
Цитировать
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.
iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн Makedonets

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #8 : 29 Март 2011, 11:39:34 »
Цитировать
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.
iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Я тебе написал рабочий вариант, чего тут еще обсуждать!

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #9 : 29 Март 2011, 11:41:17 »
Цитировать
iptables -A FORWARD -m conntrack --ctstate NEW -p tcp -s 192.168.0.0/24 -m multiport --ports 1234, 3389 -j ACCEPT
Вот здесь ошибочка.
Пакет нужно пропустить опираясь на destination адрес и порт.
iptables -A FORWARD -m conntrack --ctstate NEW -d 192.168.0.2/32 -p tcp --dport 3389 -j ACCEPT

а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Я тебе написал рабочий вариант, чего тут еще обсуждать!

спасибо, но хочу чтобы ломились не на стандартный порт
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн Makedonets

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #10 : 29 Март 2011, 11:45:58 »
блин, дак ты и указывай порт какой нужен!
$IPTABLES -t nat -I PREROUTING --dst 141.внешний.айпишник.138 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

$IPTABLES -t nat -I POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source 192.168.0.3-это внутренний айпишник

$IPTABLES -t nat -I OUTPUT --dst 141.внешний.айпишник.138 -p tcp --dport 1234 -j DNAT --to-destination 192.168.0.2:3389

$IPTABLES -I FORWARD -i 192.168.0.3 --dst 192.168.0.2 -j ACCEPT

Почитай внимательно первое мое сообщение, подставь свои параметры и все

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #11 : 29 Март 2011, 11:48:47 »
все разобрался порт 1234 какие бы правила не писал не хочет работать, порт 2222 и все сразу работает даже с моими правилами
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #12 : 29 Март 2011, 12:07:14 »
а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Нужно представлять как пакет будет идти по цепочкам, а не хватать середину пути и пытаться что-то увидеть.
У Вас же сначала идёт правило по изменению destination адреса и порта
Цитировать
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389
А потом уже Вы его разрешаете пройти, указанным мной правилом. И там будет адресатом выступать 192.168.0.2 на порт 3389

А порт 1234 возможно не работает по политике провайдера

Пользователь решил продолжить мысль 29 Март 2011, 12:09:15:
Кстати, если дефолтным правилом FORWARD выставлен ACCEPT. то второе правило лишнее по своей сути.
« Последнее редактирование: 29 Март 2011, 12:09:15 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн shaulyn

  • Автор темы
  • Участник
  • *
  • Сообщений: 162
  • Новый Компьютерный Сервис - NewCompService.ru
    • Просмотр профиля
    • Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе
Re: проброс портов rdp
« Ответ #13 : 29 Март 2011, 12:51:17 »
а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Нужно представлять как пакет будет идти по цепочкам, а не хватать середину пути и пытаться что-то увидеть.
У Вас же сначала идёт правило по изменению destination адреса и порта
Цитировать
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389
А потом уже Вы его разрешаете пройти, указанным мной правилом. И там будет адресатом выступать 192.168.0.2 на порт 3389

А порт 1234 возможно не работает по политике провайдера

Пользователь решил продолжить мысль 29 Март 2011, 12:09:15:
Кстати, если дефолтным правилом FORWARD выставлен ACCEPT. то второе правило лишнее по своей сути.

как раз не ACCEPT ну я разобрался спасибо за помощь =)
Новый Компьютерный Сервис в Санкт-Петербурге и Всеволожском районе

Оффлайн phantom-d

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: проброс портов rdp
« Ответ #14 : 22 Июнь 2011, 17:06:09 »
У меня такая ситуация, проброс RDP был сделан и работал, но... вдруг перестал
есть роутер с него идет на сервер, а тот раздает инет.

(Нажмите, чтобы показать/скрыть)
на роутере проброс до сервера сделан.
снаружи
(Нажмите, чтобы показать/скрыть)
а из локалки:
(Нажмите, чтобы показать/скрыть)
(X.X.X.X - внешний IP)
« Последнее редактирование: 22 Июнь 2011, 17:12:18 от phantom-d »

 

Страница сгенерирована за 0.065 секунд. Запросов: 24.