пробросить 3389 по iptables

[Borr]

в сети (192.168.192.0/24) есть
сервер Ubuntu 10.04 (eth0 - локалка 192.168.192.2 и eth1 192.168.1.251 шлюз 192.168.1.1 на нем висит ADSL модем)
Win Server 192.168.192.1
Уже в сетку напрямую ходят два компа с 192.168.192.5 и 6

Нужно пропустить удаленный стол к Win серверу
уже есть
sudo su -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Код: [Выделить]

*nat
:PREROUTING ACCEPT [265:16550]
:POSTROUTING ACCEPT [394:25329]
:OUTPUT ACCEPT [384:24687]
-A POSTROUTING -s 192.168.192.5/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.192.6/32 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Jul  5 19:53:52 2012
# Generated by iptables-save v1.4.4 on Thu Jul  5 19:53:52 2012
*filter
:INPUT ACCEPT [4814:2416998]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [115473:74654942]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Пробую
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.192.1:3389
iptables -t filter -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.192.1 --dport 3389 -j SNAT --to-source 192.168.1.251

И подключение к удаленному столу молчит, если подключаю модем напрямую к win серверу все работает

[xeon_greg]

при

:INPUT ACCEPT [4814:2416998]
:FORWARD ACCEPT [0:0]

эти правила:

-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

в принципе не нужны
оставить только

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.192.1:3389

маскарад ты для

-A POSTROUTING -s 192.168.192.5/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.192.6/32 -o eth1 -j MASQUERADE

конечно сделал, а что для вин сервера он по твоему не нужен ?
либо добавить

Код: [Выделить]

-A POSTROUTING -s 192.168.192.1/32 -o eth1 -j MASQUERADEлибо  общий маскарад для всех.

[Borr]

да но если я пропишу

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o eth1 -s 192.168.192.1 -j MASQUERADE

Я выпущу все с машины, а мне нужно только 3389. Что для этого только добавить -p tcp --dport 3389 в команду будет достаточно?

[fisher74]

добавьте -s 192.168.192.1

[aSmile]

добавьте -s 192.168.192.1

Он имел ввиду, что не надо на 192.168.192.1 открывать все порты.

да но если я пропишу

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o eth1 -s 192.168.192.1 -j MASQUERADE

Я выпущу все с машины, а мне нужно только 3389. Что для этого только добавить -p tcp --dport 3389 в команду будет достаточно?

Допиши --sport 3389

[fisher74]

Если на шлюзе не пробрасывать, то ничего не откроется.

[Borr]

fisher74 На шлюзе (модем D-Link 2500) у меня прописано в NAT пропускать 3389 на Ubuntu Server(eth1 192.168.1.251). Мне xeon_greg верно подсказал, все заработало. Но я хочу пропустить/выпустить ТОЛЬКО 3389 а не все.

sudo iptables -t nat -A POSTROUTING -o eth1 -s 192.168.192.1 --sport 3389 -j MASQUERADE

Решит мою проблему? -p tcp нужно?

[fisher74]

Вы видимо читаете только то, что Вам хочется прочитать. Как у Вас откроется не проброшенный на роутере порт?

-p tcp - было бы интересно услышать Ваше мнение?

[Borr]

Вы видимо читаете только то, что Вам хочется прочитать. Как у Вас откроется не проброшенный на роутере порт?

-p tcp - было бы интересно услышать Ваше мнение?

Если не трудно можете более подробно объяснить что вы имеете ввиду. Что вы понимаете под роутером, если Ubuntu сервер, то я как раз это и пытаюсь сделать.

-p tcp - было бы интересно услышать Ваше мнение?

Что этим вы хотите сказать?

Опыта у меня совсем немного многих намеков понять не смогу.

[fisher74]

Что подробнее?
Пример: есть колодец с водой(интернет), стоит насос (мопед), лунки с растениями. Для того чтобы полить, мы берём шланг и пробрасываем его до лунки (портфовард модема). Вода льётся и попадает только на одно растение. Есть круговорот воды в природе и вода обратно попадает в колодец со всего огорода (макарадинг). Так вот если шлангом не прокинуть на другую лунку (порт), то другие политы не будут.
пример кривоватый, но ...

Про протокол - тут нужно хоть чуть-чуть узнать про ip, что есть tcp и udp.

[Borr]

ув. Фишер на данный момент мне товарищ xeon_greg указал на мою ошибку. Проблема решена я получаю доступ по удаленному столу к Win серверу. Но с самого вин сервера получил прямй доступ в и-нет мне это не нужно.

http://www.opennet.ru/docs/RUS/iptables читал. Сюда пришел за конкретной помощью. Если вы хотите потешить свое эго примерами на яблоках, очередному новичку. Очень прошу вас это делать в другом месте.

Если удаленному столу помимо tcp нужен еще udp так и скажите.

[xeon_greg]

ну так и укажи что маскарад только по определенному порту

Код: [Выделить]

-A POSTROUTING -s 192.168.192.1/32 -p tcp --sport 3389 -o eth1 -j MASQUERADEasmile правильно тебе подсказал

[fisher74]

Минуту. Вы не говорили, что сервер не должен иметь доступ в интернет. Мало того, в правилах чётко описано

Код: [Выделить]

*filter
-A FORWARD -i eth0 -o eth1 -j ACCEPT
что как бы подразумевает...

[xeon_greg]

там даже :FORWARD ACCEPT [0:0] многое подразумевает, но конечно же правильно было бы фильтровать ненужный трафик еще до ната, ну поскольку точных условий поставлено изначально не было, подправили то, что было

[Borr]

Огромное спасибо xeon_greg

fisher74

Да в самом заглавном посте не говорил все верно. Но прежде еще как мы с вами стали спорить сказал, что все остальное Win серверу нужно закрыть

-A FORWARD -i eth0 -o eth1 -j ACCEPT

одного этого правила недостаточно чтобы все машины ходили в и-нет и потом xeon_greg уже сказал, что оно лишнее (я еще не пробовал).

И все же интересно почку у меня не получилось без MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.192.1:3389
iptables -t filter -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.192.1 --dport 3389 -j SNAT --to-source 192.168.1.251 # или тут сам белый IP указывать надо

Вопрос можно считать снятым
Пользователь решил продолжить мысль 06 Июль 2012, 15:04:20:

там даже :FORWARD ACCEPT [0:0] многое подразумевает, но конечно же правильно было бы фильтровать ненужный трафик еще до ната, ну поскольку точных условий поставлено изначально не было, подправили то, что было

Просто я был уже в отчаянии разрешил все подряд. За все замечания буду благодарен.

FORWARD что запретить совсем нужно?