Доступ к внутреннему серверу снаружи и изнутри

[olegik-hp]

Добрый день!

Настраиваю доступ к RDP-серверу:

# Переменные

# Команда iptables:
IPT="/sbin/iptables"

# WAN:
WAN="eth0"
INETIP="xxx"   
InetMask="XX"

# LAN:         
LAN="eth1"      
LANIP="yyy"   
LANnet="yyy/YY"   
LanMask="YY"

# Основные порты, которые будем разрешать/пробрасывать:
RDPl="3389"  #RDP on termserv
RDPw="44900" #RDP from WAN

# Серваки, доступ к которым открыт снаружи:
Serv1C="192.168.2.3"    #Терминальный сервер для 1С

# Правила, относящиеся к теримналке:

# Форвард пакетов на РДП
$IPT -t nat -A PREROUTING -i $WAN -p tcp -d $INETIP --dport $RDPw -j DNAT --to $Serv1C:$RDPl
$IPT -A FORWARD -p tcp -i $WAN -d $Serv1C --dport $RDPl -j ACCEPT

# Конец iptables

Работает доступ снаружи.
Доступ изнутри работает только по локальному адресу с локальным портом.
Доступ изнутри по связке xxx:44900 не работает.

То есть изнутри по внешнему адресу с внешним портом на терминалку не достучаться.

Как его настроить?

[fisher74]

Ваш случай отдельно рассмотрен в iptables tutorial.

[olegik-hp]

Ваш случай отдельно рассмотрен в iptables tutorial.

Спасибо. До этого читал man'ы и примеры. С tutorial'ом не сталкивался.

Почитаю.
Пользователь решил продолжить мысль 13 Сентября 2012, 00:13:17:Добавил правило в iptables (выделено)

(Нажмите, чтобы показать/скрыть)

# Переменные

# Команда iptables:
IPT="/sbin/iptables"

# WAN:
WAN="eth0"
INETIP="xxx"   
InetMask="XX"

# LAN:         
LAN="eth1"      
LANIP="yyy"   
LANnet="yyy/YY"   
LanMask="YY"

# Основные порты, которые будем разрешать/пробрасывать:
RDPl="3389"  #RDP on termserv
RDPw="44900" #RDP from WAN

# Серваки, доступ к которым открыт снаружи:
Serv1C="192.168.2.3"    #Терминальный сервер для 1С

# Правила, относящиеся к теримналке:

# Форвард пакетов на РДП
$IPT -t nat -A PREROUTING -i $WAN -p tcp -d $INETIP --dport $RDPw -j DNAT --to $Serv1C:$RDPl
$IPT -A FORWARD -p tcp -i $WAN -d $Serv1C --dport $RDPl -j ACCEPT
$IPT -t nat -A POSTROUTING -p tcp -d $Serv1C --dport $RDPl -j SNAT --to-source $LANIP

# Конец iptables

Не работает изнутри. Снаружи работает

Не заработало =(

[AnrDaemon]

Показывайте iptables-save

[olegik-hp]

Показывайте iptables-save

Я понял, просто тогда было поздно уже.

Выкладываю:
Переменные:

(Нажмите, чтобы показать/скрыть)

Хосты:
ExtIP      -- внешний IP
VideoSrv   -- Сервер (внутри локалки), с которого мапим службы
IntIP      -- Внутренний IP шлюза
SrvTerm    -- Терминальный сервер

Порты:
sshExtPort -- порт для внешнего доступа на ssh
sshExtPort -- порт для внутреннего доступа на ssh
vTCPw      -- порт службы снаружи
vTCPl      -- порт службы внутри
(Аналогично vUDPl и vUDPw)

iptables-save

(Нажмите, чтобы показать/скрыть)

*mangle
:PREROUTING ACCEPT [250388:150014406]
:INPUT ACCEPT [179418:133765253]
:FORWARD ACCEPT [67545:15977112]
:OUTPUT ACCEPT [188772:135183260]
:POSTROUTING ACCEPT [256562:151199842]
-A PREROUTING -p tcp -m tcp --dport $sshExtPort -j MARK --set-xmark 0x56ce/0xffffffff
COMMIT
# Completed on Thu Sep 13 09:21:40 2012
# Generated by iptables-save v1.4.8 on Thu Sep 13 09:21:40 2012
*nat
:PREROUTING ACCEPT [17657:1565349]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [7056:506916]
-A PREROUTING -d $ExtIP -p tcp -m tcp --dport $vTCPw -j DNAT --to-destination $VideoSrv:$vTCPl
-A PREROUTING -d $ExtIP -i eth0 -p udp -m udp --dport $vUDPw -j DNAT --to-destination $VideoSrv:$vUDPl
-A PREROUTING -s $LanNet ! -d $LanNet -i eth1 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport $sshExtPort -j REDIRECT --to-ports $sshIntPort
-A PREROUTING -i eth0 -p tcp -m tcp --dport $sshExtPort -j REDIRECT --to-ports $sshIntPort
-A PREROUTING -d $ExtIP -i eth0 -p tcp -m tcp --dport $RDPw -j DNAT --to-destination $SrvTerm:3389
-A PREROUTING -d $ExtIP -i eth1 -p tcp -m tcp --dport $RDPw -j DNAT --to-destination $SrvTerm:3389
-A POSTROUTING -d $VideoSrv -p tcp -m tcp --dport $vTCPl -j SNAT --to-source $IntIP
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -d $SrvTerm -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -d $ExtIP -p tcp -m tcp --dport $vTCPw -j DNAT --to-destination $VideoSrv:$vTCPl
COMMIT
# Completed on Thu Sep 13 09:21:40 2012
# Generated by iptables-save v1.4.8 on Thu Sep 13 09:21:40 2012
*filter
:INPUT DROP [1219:91414]
:FORWARD DROP [6:360]
:OUTPUT ACCEPT [188765:135182644]
-A INPUT -i eth1 -p tcp -m tcp --dport $sshIntPort -j ACCEPT
-A INPUT -p tcp -m mark --mark 0x56ce -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -d $VideoSrv -p tcp -m tcp --dport $vTCPl -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d $VideoSrv -i eth0 -p udp -m udp --dport $vUDPl -j ACCEPT
-A FORWARD -d $VideoSrv -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s $LanNet -i eth0 -o eth1 -p tcp -m multiport --dports 443,21,22 -j ACCEPT
-A FORWARD -d $SrvTerm -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d $SrvTerm -p tcp -m tcp --dport $RDPw -j ACCEPT
COMMIT

[AnrDaemon]

Просили показать iptables-save, а не креативные вариации на тему.

[olegik-hp]

Просили показать iptables-save, а не креативные вариации на тему.

Слушай, по сути я могу сам править эти таблицы с вывода, а потом воткнуть их восстановить с iptables-restore?

Спасибо. Сейчас покурю man'ы и tutorial'ы.

Можешь помочь ссылкой, если есть под рукой (google не предлагать, сам иду туда)?

Вопрос по поводу структуры файла:
#комментарий
*nat # это название таблицы
:PREROUTING # название цепочки
-A PREROUTING -p tcp -m tcp --dport 1234 -j REDIRECT --to-ports 12345 #действие наподобие команды iptables -A PREROUTING ...
COMMIT #конец таблицы или цепочки?

Я правильно понимаю?

[AnrDaemon]

Там все те же правила, что ты вводишь от руки.
Разница только в том, как именно правила загружаются.
Скриптом ты загоняешь правила по одному, iptables-restore загружает правила единым массивом, заменяя все/любые правила, попавшиеся под горячую руку.

[olegik-hp]

Повторюсь:

Вопрос по поводу структуры файла:
#комментарий
*nat # это название таблицы
:PREROUTING # название цепочки
-A PREROUTING -p tcp -m tcp --dport 1234 -j REDIRECT --to-ports 12345 #действие наподобие команды iptables -A PREROUTING ...
COMMIT #конец таблицы или цепочки?

Я правильно понимаю?

[AnrDaemon]

Да, только
:названиеЦепочки действиеПоУмолчанию [счётчик:счётчик]
В общем, пробуй на виртуалке, пока не набьёшь руку.
когда правила заработают, как тебе надо - переноси на реальное железо.

[olegik-hp]

Да, только
:названиеЦепочки действиеПоУмолчанию [счётчик:счётчик]
В общем, пробуй на виртуалке, пока не набьёшь руку.
когда правила заработают, как тебе надо - переноси на реальное железо.

Это неинтересно. =)

У меня есть скрипт, который описывает действующие правила. Есть iptables-save, который содержит, опять же, действующие правила.

Я правлю этот save, делаю restore, если что-то не так, то меняю обратно.

Да, по структуре файла:

#комментарий
*nat # это название таблицы
:PREROUTING # название цепочки
#цепочки [счетчик:счетчик]
-A PREROUTING -p tcp -m tcp --dport 1234 -j REDIRECT --to-ports 12345 #действие наподобие команды iptables -A PREROUTING ...
#остальные команды
COMMIT #конец таблицы
Получается так?
Пользователь решил продолжить мысль 13 Сентября 2012, 12:04:46:Сделал.

Ошибка была в этом правиле:

Код: [Выделить]

-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Надо:

Код: [Выделить]

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Спасибо AnrDaemon

Да, и по поводу iptables-save/restore:

iptables-save очень полезен для наглядности, но iptables.sh удобен для гибкости.
Другими словами:
Правила забивать лучше со скриптом, так как удобнее переносить, используя переменные.

Но проверять их проще все же с конфигом save.