Банальный проброс портов

[Rimsky]

Доброе время суток

Подскажите пожалуйста

1. Как извне подключиться по RDP к кампу 192.168.1.254

Схема сети
АДСЛ модем имеет внешний адрес 10.10.10.10
Проброс портов настроен как показано на рисунке
Шлюз на убунте (eth3 = 192.168.1.250 eth2 = 192.168.2.250)

Подключение к 192.168.2.240 работает, но это временно



конфа

Код: [Выделить]

#eth3 = 192.168.1.250 eth2 = 192.168.2.250

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.254:3389
#iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

#iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50000

iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -P FORWARD DROP


2. Как комп 192,168,1,100 напрямую выпустить в нэт без фильтрации? На нем стоят вредные ведомственные проги, при установке соединения они виснут на проверке имени пользочателя, так как тяму у меня не хватает приходится делать iptables -P FORWARD ACCEPT что не есть гут.

Заранее спасибо!

[fisher74]

А комп 192,168,1,100 это кто?

[Rimsky]

А комп 192,168,1,100 это кто?

собственно никто, обычный воркстейшн, на схеме был бы рядом с 192,168,1,254, в той же подсети 192,168,1,0/24

[koshev]

(Нажмите, чтобы показать/скрыть)

[Rimsky]

KT315,
Да так
А в чем это вы нарисовали?

[koshev]

Если так, то объединяйте на Ubuntu карточки в мост и проброс осуществляйте на шлюзе, там же фильтруйте чего надо. Нарисовал в Dia

[Rimsky]

KT315,
Ubuntu и есть шлюз, за ней только тупой адсл-модем который ничего не умеет

У меня собственно вопрос
1. что именно прописывать в адресах/портах prerouting / postrouting
2. как прописать чтобы один комп с заданным айпишником имел доверенное соединение с сетью

[koshev]

А на схеме модем перед Ubuntu и работает шлюзом. Так всё-таки где он и какова его роль?
На первый вопрос ответ будет дурацкий. Правила цепочки PREROUTING таблицы nat.

Код: (bash) [Выделить]

iptables -t nat -A PREROUTING -d $WAN_IP -p tcp -m tcp --dport $WAN_PORT -j DNAT --to-destination $LAN_IP:$LAN_PORTВторой вопрос не понял, что имелось ввиду под "достоверным соединием"?

[Rimsky]

KT315,
1. вот так и прописано, выше конфа

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:33892. Доверенное т.е. именно этот комп (1,100) выпускался без всяких правил фильтраций, пакеты от него сразу летели на модем
Пробелма в том что при установке соединения (континент-АП) он повисает на проверке имени пользователя и пароля, помогает iptables -P FORWARD ACCEPT но это неправильно. Как правильно прописать чтобы с этого компа устанавливались соединения?

[fisher74]

Я, если честно не совсем понял: а мопед всё-таки в режиме моста или роутера? Судя по первой картинке - роутером, а значит $WAN будет иметь несколько иное значение.

Да и выражение тупой адсл-модем который ничего не умеет никак не вяжется с работоспособностью проброса порта на 192.168.2.240. Вы уж определитесь.

[Rimsky]

fisher74,
Модем не умеет DynDNS, не умеет запрещать сайты, не имеет ACL листов, тупой как моя жизнь
Модем в режиме роутера.
С айпишником я промахнулся, конечно не 10,10,10,10, просто не писать же мне реальный внешний айпишник, а цифра 10 мне нравится, и както я позабыл что 10,0,0,0/8 не маршрутизируется в интернете.

[koshev]

Модем не умеет DynDNS, не умеет запрещать сайты, не имеет ACL листов, тупой как моя жизнь
Модем в режиме роутера.

Может, разжаловать его по статусу? Негоже ему роутером работать. Бордером сети все равно является убyнта, так не всё ли равно кто будет соединятся с провайдером? Свитч для LAN, надеюсь, у Вас найдётся?

[Rimsky]

KT315,
не, разжаловать не получится скорее всего, вот письмо лежит на конференцию по организации общей сети, так что видимо как есть так он и останется роутером
Тут же важно чтобы для вышестоящей организации внешние айпишники и конфигурации были как и раньше, а что за модемом их не волнует, точнее "чтобы все было сделано вчера!"

[koshev]

"Пичаль". Но тогда надо понимать, что Portforward нужен не только на Убyнте, но и на роутере-модеме для выхода в Internet определённого хоста. Это, надеюсь, ясно. А у Вас правила на убyнта-шлюзе такие, как будто модем не шлюз, а именно модем.
В принципе можно все решить маршрутизацией, с Portforward'ом только на роутере-модеме, но, опять же, если модем туп, наврядли оно такое умеет.
PS если честно, я не очень понимаю, почему ADSL-шлюз нельзя сделать ADSL-модемом. В вышестоящей организации не почувствуют что там за модемом, и в каком режиме оно работает.

[Rimsky]

KT315,
модем умеет проброс портов, на рисунке выше
10.10.10.10:50000->192.168.2.250:50000
10.10.10.10:60000->192.168.2.240:3389
Надо с 192.168.2.250:50000->192.168.1.254:3389 и обратно
Туда (во внутр сетку)

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.254:3389Обратно

Код: [Выделить]

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
А какие правила указывают на то что модем не шлюз а модем?
Где я дураг?