Не открывается порт при пробросе RDP через IPTABLES

[er508h]

Предисловие.
Я понимаю, что тема избита, что "иди читай маны" и так далее. Я понимаю, что многого не знаю и что мне нужно читать-читать-читать документацию. Но, тем, не менее, потратив сутки на разрешение проблемы, я так и не смог ее победить и надеюсь на вашу помощь, ибо вопрос довольно срочный.

Суть проблемы.
Пришел на новое место, в наследство достался шлюз на девятой убунте (в дальнейшем, конечно, обязательное обновление но сейчас на это нет времени) и локалка на винде. Нужно пробросить из внешней сети RDP через шлюз. Погуглив, нашел правила для iptables, более менее разобрался в них самих, вроде все должно работать, но порт наотрез отказывается открываться. При этом, я могу из внешки ходить на шлюз по ssh.

Исходные данные.
Имеем шлюз в двумя интерфейсами - eth1 192.168.0.0/24 смотрящий в сеть и eth0 - 192.168.1.0/32 смотрящий в мир, на котором поднимается ppp0.

Вывод iptables (порты 3334 и 7777 добавлены мной и они не хотят открываться, порты 22-80-443-25-110 были открыты до меня и исправно работают)

Код: [Выделить]

root@smtp:~# iptables-save
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*nat
:PREROUTING ACCEPT [1311:134971]
:POSTROUTING ACCEPT [46:5208]
:OUTPUT ACCEPT [178:15609]
-A PREROUTING -p tcp -m tcp --dport 3334 -j DNAT --to-destination 192.168.0.8:3389
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 23 23:21:13 2014
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*filter
:INPUT ACCEPT [2370:654844]
:FORWARD ACCEPT [890:274106]
:OUTPUT ACCEPT [2722:1085328]
:LOGNDROP - [0:0]
:block - [0:0]
-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -s 94.25.118.42/32 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ppp1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ppp2 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6881:6999 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -j RETURN
-A INPUT -i ppp0 -p tcp -m tcp --dport 2049 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 2049 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp2 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p icmp -f -j DROP
-A INPUT -j block
-A FORWARD -d 192.168.0.8/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 6881 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o ppp1 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o ppp2 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1717:1720 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1717:1720 -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 6881:6999 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 14 -j ACCEPT
-A OUTPUT -p icmp -f -j ACCEPT
-A OUTPUT -d 128.140.168.216/32 -j DROP
-A OUTPUT -d 217.69.129.209/32 -j DROP
-A OUTPUT -d 217.69.129.211/32 -j DROP
-A OUTPUT -d 217.69.138.105/32 -j DROP
-A OUTPUT -d 217.69.138.107/32 -j DROP
-A OUTPUT -d 128.140.168.214/32 -j DROP
-A LOGNDROP -p tcp -m limit --limit 5/min -j LOG --log-prefix "Denied TCP: " --log-level 7
-A LOGNDROP -p udp -m limit --limit 5/min -j LOG --log-prefix "Denied UDP: " --log-level 7
-A LOGNDROP -p icmp -m limit --limit 5/min -j LOG --log-prefix "Denied ICMP: " --log-level 7
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! ppp0 -m state --state NEW -j ACCEPT
-A block -i ! ppp1 -m state --state NEW -j ACCEPT
-A block -i ! ppp2 -m state --state NEW -j ACCEPT
-A block -j ACCEPT
COMMIT
# Completed on Sun Mar 23 23:21:13 2014
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*mangle
:PREROUTING ACCEPT [7127:1496588]
:INPUT ACCEPT [5848:1183841]
:FORWARD ACCEPT [893:274258]
:OUTPUT ACCEPT [2988:1112116]
:POSTROUTING ACCEPT [3997:1398162]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Mar 23 23:21:13 2014

Вывод маршрутов (forward_ipv4 включен)

Код: [Выделить]

root@smtp:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
prom20-bas-1.br *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp0
Тут меня смущает отсутствие гейтвэя в дэфолте, но вроде все должно работать и так.

Вот такие дела. В чем проблема я не понимаю, куда уже смотреть тоже не знаю. По умолчанию никаких правил и скриптов не грузится, пробовал полностью очищать iptables и прописывать только правила для проброса, удалил apparmor, бесконечные перезагрузки и перепроверки настроек, пробовал разные порты назначать для проброса. Безрезультатно. Просто не открываются новые порты и все. Возможно, чтото из запущеных процессов блочит?

(Нажмите, чтобы показать/скрыть)

root@smtp:~# ps -ela
F S   UID   PID  PPID  C PRI  NI ADDR SZ WCHAN  TTY          TIME CMD
4 S     0     1     0  0  80   0 -   772 select ?        00:00:04 init
5 S     0     2     0  0  75  -5 -     0 kthrea ?        00:00:00 kthreadd
1 S     0     3     2  0 -40   - -     0 migrat ?        00:00:00 migration/0
1 S     0     4     2  0  75  -5 -     0 ksofti ?        00:00:01 ksoftirqd/0
5 S     0     5     2  0 -40   - -     0 watchd ?        00:00:00 watchdog/0
1 S     0     6     2  0  75  -5 -     0 worker ?        00:00:00 events/0
1 S     0     7     2  0  75  -5 -     0 worker ?        00:00:00 khelper
1 S     0     8     2  0 -40   - -     0 worker ?        00:00:00 kstop/0
1 S     0     9     2  0  75  -5 -     0 worker ?        00:00:00 kintegrityd/0
1 S     0    10     2  0  75  -5 -     0 worker ?        00:00:00 kblockd/0
1 S     0    11     2  0  75  -5 -     0 worker ?        00:00:00 kacpid
1 S     0    12     2  0  75  -5 -     0 worker ?        00:00:00 kacpi_notify
1 S     0    13     2  0  75  -5 -     0 worker ?        00:00:00 cqueue
1 S     0    14     2  0  75  -5 -     0 worker ?        00:00:03 ata/0
1 S     0    15     2  0  75  -5 -     0 worker ?        00:00:00 ata_aux
1 S     0    16     2  0  75  -5 -     0 worker ?        00:00:00 ksuspend_usbd
1 S     0    17     2  0  75  -5 -     0 hub_th ?        00:00:00 khubd
1 S     0    18     2  0  75  -5 -     0 serio_ ?        00:00:00 kseriod
1 S     0    19     2  0  75  -5 -     0 worker ?        00:00:00 kmmcd
1 S     0    20     2  0  75  -5 -     0 worker ?        00:00:00 btaddconn
1 S     0    21     2  0  75  -5 -     0 worker ?        00:00:00 btdelconn
1 S     0    22     2  0  80   0 -     0 pdflus ?        00:00:00 pdflush
1 S     0    23     2  0  80   0 -     0 pdflus ?        00:00:01 pdflush
1 S     0    24     2  0  75  -5 -     0 kswapd ?        00:00:00 kswapd0
1 S     0    25     2  0  75  -5 -     0 worker ?        00:00:00 aio/0
1 S     0    26     2  0  75  -5 -     0 ecrypt ?        00:00:00 ecryptfs-kthrea
1 S     0    29     2  0  75  -5 -     0 scsi_e ?        00:00:07 scsi_eh_0
1 S     0    30     2  0  75  -5 -     0 scsi_e ?        00:00:00 scsi_eh_1
1 S     0    31     2  0  75  -5 -     0 scsi_e ?        00:00:00 scsi_eh_2
1 S     0    32     2  0  75  -5 -     0 scsi_e ?        00:00:00 scsi_eh_3
1 S     0    33     2  0  75  -5 -     0 worker ?        00:00:00 kstriped
1 S     0    34     2  0  75  -5 -     0 worker ?        00:00:00 kmpathd/0
1 S     0    35     2  0  75  -5 -     0 worker ?        00:00:00 kmpath_handlerd
1 S     0    36     2  0  75  -5 -     0 worker ?        00:00:00 ksnapd
1 S     0    37     2  0  75  -5 -     0 worker ?        00:00:00 kondemand/0
5 S     0    38     2  0  70 -10 -     0 rfcomm ?        00:00:00 krfcommd
1 S     0   564     2  0  75  -5 -     0 md_thr ?        00:00:17 md0_raid1
1 S     0   709     2  0  75  -5 -     0 kjourn ?        00:00:03 kjournald
5 S     0   773     1  0  76  -4 -   557 poll   ?        00:00:09 udevd
1 S     0  1786     2  0  75  -5 -     0 kjourn ?        00:00:00 kjournald
1 S     0  1787     2  0  75  -5 -     0 kjourn ?        00:00:00 kjournald
5 S     1  1982     1  0  80   0 -   486 poll   ?        00:00:00 portmap
5 S   120  2009     1  0  80   0 -   502 select ?        00:00:00 rpc.statd
5 S     0  2035     2  0  75  -5 -     0 worker ?        00:00:00 rpciod/0
1 S     0  2041     2  0  75  -5 -     0 worker ?        00:00:00 nfsiod
1 S     0  2056     1  0  80   0 -   608 ep_pol ?        00:00:00 rpc.idmapd
0 S     0  2232     1  0  80   0 -   453 n_tty_ tty4     00:00:00 getty
0 S     0  2233     1  0  80   0 -   453 n_tty_ tty5     00:00:00 getty
0 S     0  2238     1  0  80   0 -   453 n_tty_ tty2     00:00:00 getty
0 S     0  2240     1  0  80   0 -   453 n_tty_ tty3     00:00:00 getty
0 S     0  2241     1  0  80   0 -   453 n_tty_ tty6     00:00:00 getty
5 S   101  2331     1  0  80   0 -   511 select ?        00:00:05 syslogd
1 S     0  2347     1  0  80   0 -  2663 select ?        00:00:00 winbindd
1 S     0  2351  2347  0  80   0 -  2662 select ?        00:00:00 winbindd
1 S     0  2400     1  0  80   0 -   453 poll   ?        00:00:00 acpid
1 S   115  2415     1  0  80   0 - 16168 select ?        00:00:01 amavisd-new
5 S     0  2432     1  0  80   0 -  8325 select ?        00:00:01 apache2
1 S     1  2445     1  0  80   0 -   525 hrtime ?        00:00:00 atd
5 S   106  2471     1  0  80   0 - 11195 rt_sig ?        00:00:00 named
5 S     0  2570     1  0  80   0 -   500 pipe_w ?        00:00:00 courierlogger
4 S     0  2571  2570  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2578  2571  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2579  2571  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2580  2571  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2581  2571  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2582  2571  0  80   0 -  1133 select ?        00:00:00 authdaemond
1 S     0  2604     1  0  80   0 -  1195 hrtime ?        00:00:00 cron
5 S   109  2622     1  0  80   0 -   669 poll   ?        00:00:04 dbus-daemon
4 S     0  2641     1  0  80   0 -   493 syslog ?        00:00:00 dd
1 S   102  2643     1  0  80   0 -   968 pipe_w ?        00:00:00 klogd
5 S   119  2655     1  0  80   0 - 60816 hrtime ?        00:07:25 ntop
5 S   114  2659     1  0  80   0 -  2846 select ?        00:00:00 postgrey
1 S     0  2672     1  0  80   0 -  8588 select ?        00:00:24 spamd
5 S   110  2732     1  0  80   0 -   776 poll   ?        00:00:09 avahi-daemon
1 S   110  2733  2732  0  80   0 -   748 unix_s ?        00:00:00 avahi-daemon
5 S   112  2750     1  0  80   0 -  1599 poll   ?        00:00:21 hald
5 S     0  2753     1  0  80   0 -  4394 poll   ?        00:00:03 console-kit-dae
0 S     0  2816  2750  0  80   0 -   869 poll   ?        00:00:01 hald-runner
0 S     0  2846  2816  0  80   0 -  1330 poll   ?        00:00:00 hald-addon-inpu
0 S     0  2882  2816  0  80   0 -  1331 poll   ?        00:00:10 hald-addon-stor
4 S   112  2890  2816  0  80   0 -  1295 unix_s ?        00:00:00 hald-addon-acpi
5 S     0  2918     1  0  80   0 -  3587 select ?        00:00:00 miniserv.pl
5 S     0  2937     1  0  80   0 -  1538 ep_pol ?        00:00:00 cupsd
0 S     0  2982     1  0  80   0 -   469 wait   ?        00:00:00 mysqld_safe
4 S   103  3024  2982  0  80   0 - 32005 select ?        00:00:42 mysqld
0 S     0  3026  2982  0  80   0 -   449 pipe_w ?        00:00:00 logger
5 S     0  3096     1  0  80   0 -  1805 select ?        00:00:00 nmbd
5 S     0  3105     1  0  80   0 -  3263 select ?        00:00:00 smbd
1 S     0  3112  2347  0  80   0 -  2685 select ?        00:00:00 winbindd
1 S     0  3133  2347  0  80   0 -  2663 select ?        00:00:00 winbindd
5 S     0  3135     1  0  80   0 -   551 select ?        00:00:00 mdadm
1 S     0  3139  3105  0  80   0 -  3263 select ?        00:00:00 smbd
1 S     0  3211     2  0  75  -5 -     0 svc_re ?        00:00:00 lockd
1 S     0  3212     2  0  75  -5 -     0 worker ?        00:00:00 nfsd4
1 S     0  3213     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3214     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3215     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3216     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3217     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3218     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3219     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3220     2  0  75  -5 -     0 svc_re ?        00:00:00 nfsd
1 S     0  3224     1  0  80   0 -   531 select ?        00:00:00 rpc.mountd
1 S   113  3249     1  0  80   0 -  3925 hrtime ?        00:00:00 transmission-da
1 S   115  3264  2415  0  80   0 - 16396 select ?        00:00:00 amavisd-new
1 S   115  3265  2415  0  80   0 - 16396 flock_ ?        00:00:00 amavisd-new
1 S     0  3286  2672  0  80   0 -  8588 select ?        00:00:00 spamd
1 S     0  3287  2672  0  80   0 -  8588 select ?        00:00:00 spamd
5 S     0  3295     1  0  80   0 -   772 select ?        00:00:01 pppd
5 S     0  3310     1  0  78  -2 -   772 select ?        00:00:17 pppd
5 S     0  3410     1  0  78  -2 -  1366 select ?        00:00:00 sshd
0 S     0  5846     1  0  80   0 -   453 n_tty_ tty1     00:00:00 getty
5 S    33 11991  2432  0  80   0 -  8325 inet_c ?        00:00:00 apache2
5 S    33 11992  2432  0  80   0 -  8325 inet_c ?        00:00:00 apache2
5 S    33 11997  2432  0  80   0 -  8325 inet_c ?        00:00:00 apache2
5 S    33 11998  2432  0  80   0 -  8409 inet_c ?        00:00:00 apache2
5 S    33 12001  2432  0  80   0 -  8325 inet_c ?        00:00:00 apache2
4 S     0 22177  3410  0  78  -2 -  2181 select ?        00:00:00 sshd
4 R     0 22194 22177  0  78  -2 -  1405 -      pts/0    00:00:00 bash
0 R     0 22811 22194  0  78  -2 -   960 -      pts/0    00:00:00 ps
5 S    33 26888  2432  0  80   0 -  8325 inet_c ?        00:00:00 apache2

Подскажите люди добрые и знающие, надеюсь на Вашу помощь!

[fisher74]

-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT

Цепочка INPUT, как и OUTPUT в этом процессе не участвует

192.168.0.8 в интернет через этот шлюз ходит? Таблицу маршрутизации покажите.

Тут меня смущает отсутствие гейтвэя в дэфолте

Иногда лучше промолчать, чем говорить
А это что по Вашему?

Код: [Выделить]

root@smtp:~# route
...
default         *               0.0.0.0         U     0      0        0 ppp0


P.S. И route лучше показывать с параметром -n - помогающим не нужно гадать что есть mycomp.mydomen.my. У Вас это не наблюдается,но всё же...

[er508h]

-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT

Цепочка INPUT, как и OUTPUT в этом процессе не участвует

Да, я понимаю, это от безысходности уже, "а вдруг сработает".

192.168.0.8 в интернет через этот шлюз ходит? Таблицу маршрутизации покажите.

192.168.0.8 в инет ходит через этот шлюз, между внешней и внутренней сетью только обсуждаемый шлюз.

Код: [Выделить]

root@smtp:~# netstat -n -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
212.19.9.1      0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0
Об этой таблице маршрутизации идет речь, я правильно понял?
Пользователь решил продолжить мысль 23 Марта 2014, 20:36:20:Вообщем, как и предполагал изначально, я дурак)
Проблема оказалась на стороне 192.168.0.8, а не шлюза. 192.168.0.8 это виртуальный сервер на Hyper-V, видимо там чего-то не настроено что извне РДП не пускает, когда изнутри сети ходит нормально.
Сейчас пробросил на другой сервер в этой же подсети, все заработало. Уперся блин при настройке в один адрес, только с ним манипуляции проводил, вот и результат.....
Завтра приду на работу буду уже смотреть, что там с 192.168.0.8 не так.