Проброс rdp на Ubuntu Server 10.04

[MotoMoto]

Добрый день!
Имеется шлюз на базе ubuntu-server 10.04. Выкладываю содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Чистим
iptables -F
iptables -F -t nat

# Политики по-умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

### ssh
iptables -A INPUT -p tcp  --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

###Проброс RDP
iptables -t nat -A PREROUTING -p tcp -d XXX.XXX.XXX.XXX --dport 3389 -j DNAT --to-destination 192.168.0.12:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.12 --dport 3389 -j SNAT --to-source XXX.XXX.XXX.XXX
iptables -A FORWARD -i XXX.XXX.XXX.XXX --dst 192.168.0.12 -p tcp --dport 3389 -j ACCEPT

# Запрещаем HTTP через NAT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j REJECT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

При попытке соединения извне по rdp, соединение сбрасывается. Подскажите как исправить, уже несколько дней бьюсь... Спасибо!

[ArcFi]

Выкладываю содержимое iptables...

Код: [Выделить]

sudo iptables-save

[MotoMoto]

Код: [Выделить]

sudo iptables-save

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [123:17239]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [773:52350]
-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.12:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.12/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source XXX.XXX.XXX.XXX
COMMIT
# Completed on Thu Jan 10 12:15:34 2013
# Generated by iptables-save v1.4.4 on Thu Jan 10 12:15:34 2013
*filter
:INPUT DROP [97:12876]
:FORWARD DROP [0:0]
:OUTPUT DROP [773:52350]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.12/32 -i XXX.XXX.XXX.XXX -p tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT

[ArcFi]

MotoMoto, косяк в том месте, где у вас не затёрт IP. =)

[MotoMoto]

  Спасибо за наводку, исправил. Все равно не работает((. С ACCEPT-политикой по-умолчанию для FORWARD также не работает.

[ArcFi]

исправил

Точно? Опция "-i" подразумевает интерфейс, а не IP.

[MotoMoto]

Проглядел, исправил-не работает. Вот исправленный:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jan 10 15:22:14 2013
*nat
:PREROUTING ACCEPT [126:16765]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [773:52350]
-A PREROUTING -d XXX.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.12:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.12/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source XXX.XXX.XXX.XXX
COMMIT
# Completed on Thu Jan 10 15:22:14 2013
# Generated by iptables-save v1.4.4 on Thu Jan 10 15:22:14 2013
*filter
:INPUT DROP [85:12577]
:FORWARD DROP [0:0]
:OUTPUT DROP [777:52702]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s XXX.XXX.XXX.XXX/32 -d 192.168.0.4/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Thu Jan 10 15:22:14 2013

[ArcFi]

На венде 3389/tcp по дефолту только для localsubnet.

[MotoMoto]

Объясните, если не сложно. Просто в ЛС есть еще один шлюз на базе zential, там в веб-морде настроен проброс на 3389. Правда есть интересная галочка "Replace Source Adress", может в этом дело?

P.S. Вот что говорит tcpdump

Код: [Выделить]

sudo tcpdump -n -nn 'port 3389'

(Нажмите, чтобы показать/скрыть)

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:48:14.375532 IP 90.133.10.116.8126 > XXX.XXX.XXX.XXX.3389: Flags , seq 2988484437, win 14600, options [mss 1460,sackOK,TS val 8679523 ecr 0,nop,wscale 1], length 0

[ArcFi]

Объясните, если не сложно. Просто в ЛС есть еще один шлюз на базе zential, там в веб-морде настроен проброс на 3389. Правда есть интересная галочка "Replace Source Adress", может в этом дело?

Я как раз про это.
Правило выглядит так:

Код: [Выделить]

-A POSTROUTING -s <внешний_IP_клиента> -d <IP_сервера_в_локалке> -o <интерфейс_шлюза_в_локалке> -j SNAT --to-source <IP_шлюза_в_локалке>Либо настраивайте вендовый фаервол.

[MotoMoto]

Замечена интересная особенность:
Вводим правило

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.0.10 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.201Вывод iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Jan 15 14:59:13 2013
*nat
:PREROUTING ACCEPT [295:35649]
:POSTROUTING ACCEPT [9:577]
:OUTPUT ACCEPT [8:527]
-A PREROUTING -p tcp -m tcp -d XXX.XXX.XXX.XXX --dport 3389 -j DNAT --to-destination 192.168.0.10:3389
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Jan 15 14:59:13 2013
# Generated by iptables-save v1.4.4 on Tue Jan 15 14:59:13 2013
*filter
:INPUT ACCEPT [284:29605]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52:3780]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Tue Jan 15 14:59:13 2013

То есть правило в iptables не отразилось... Ерунда какая-то...

P.S.

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.0.10 -p tcp --dport 3389 -j SNAT --to-source XXX.XXX.XXX.XXX-такая же фигня

P.P.S. еще такой момент, на сервере шлюзом по-умолчанию стоит другой шлюз.

[fisher74]

а iptables через sudo вносите?
Какая реакция системы на экране?

[MotoMoto]

Вносил без sudo под учеткой рута-не вносилось. Попробовал под юзером через sudo - добавилось правило. Проброс все также не заработал...

Реакции системы на экране никакой, как и всегда при вводе правильного правила (новое поле для ввода и все)

P.S. Вот вывод tcpdump

(Нажмите, чтобы показать/скрыть)

11:04:30.977601 IP m90-133-64-63.cust.tele2.ru.40908 > newway.newway.3389: Flags [S.], seq 1592893940, win 14600, options [mss 1460,sackOK,TS val 8334162 ecr 0,nop,wscale 1], length 0

11:04:30.977625 IP newway.newway > m90-133-64-63.cust.tele2.ru: ICMP newway.newway tcp port 3389 unreachable, length 68

Порт явно на сервере шареный, поскольку через другой шлюз на него цепляются (он тоже не является шлюзом по-умолчанию). Таки дела...

Новые подробности - пробросил на рабочий комп порт для Апатча - с внешки подцепился, все норм. Далее, на рабочем компе ввожу

Код: [Выделить]

netstat -an и вижу такую картину:

(Нажмите, чтобы показать/скрыть)

192.168.0.51:80         90.133.12.95:45251      FIN_WAIT2

второй ip (компа с внешки) должен ведь был замениться на внутренний?

[MotoMoto]

Подскажите, почему nat не подменяет внешний ip клиента на внутренний шлюза?

[fisher74]

ну если  у Вас правило не добавилось, как же оно отработает?