Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Не открывается порт при пробросе RDP через IPTABLES  (Прочитано 1071 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн er508h

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Предисловие.
Я понимаю, что тема избита, что "иди читай маны" и так далее. Я понимаю, что многого не знаю и что мне нужно читать-читать-читать документацию. Но, тем, не менее, потратив сутки на разрешение проблемы, я так и не смог ее победить и надеюсь на вашу помощь, ибо вопрос довольно срочный.

Суть проблемы.
Пришел на новое место, в наследство достался шлюз на девятой убунте (в дальнейшем, конечно, обязательное обновление но сейчас на это нет времени) и локалка на винде. Нужно пробросить из внешней сети RDP через шлюз. Погуглив, нашел правила для iptables, более менее разобрался в них самих, вроде все должно работать, но порт наотрез отказывается открываться. При этом, я могу из внешки ходить на шлюз по ssh.

Исходные данные.
Имеем шлюз в двумя интерфейсами - eth1 192.168.0.0/24 смотрящий в сеть и eth0 - 192.168.1.0/32 смотрящий в мир, на котором поднимается ppp0.

Вывод iptables (порты 3334 и 7777 добавлены мной и они не хотят открываться, порты 22-80-443-25-110 были открыты до меня и исправно работают)
root@smtp:~# iptables-save
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*nat
:PREROUTING ACCEPT [1311:134971]
:POSTROUTING ACCEPT [46:5208]
:OUTPUT ACCEPT [178:15609]
-A PREROUTING -p tcp -m tcp --dport 3334 -j DNAT --to-destination 192.168.0.8:3389
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 23 23:21:13 2014
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*filter
:INPUT ACCEPT [2370:654844]
:FORWARD ACCEPT [890:274106]
:OUTPUT ACCEPT [2722:1085328]
:LOGNDROP - [0:0]
:block - [0:0]
-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -s 94.25.118.42/32 -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ppp1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i ppp2 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6881:6999 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -j RETURN
-A INPUT -i ppp0 -p tcp -m tcp --dport 2049 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 2049 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp1 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp2 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p icmp -f -j DROP
-A INPUT -j block
-A FORWARD -d 192.168.0.8/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 6881 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o ppp1 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o ppp2 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1717:1720 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1717:1720 -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 6881:6999 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 14 -j ACCEPT
-A OUTPUT -p icmp -f -j ACCEPT
-A OUTPUT -d 128.140.168.216/32 -j DROP
-A OUTPUT -d 217.69.129.209/32 -j DROP
-A OUTPUT -d 217.69.129.211/32 -j DROP
-A OUTPUT -d 217.69.138.105/32 -j DROP
-A OUTPUT -d 217.69.138.107/32 -j DROP
-A OUTPUT -d 128.140.168.214/32 -j DROP
-A LOGNDROP -p tcp -m limit --limit 5/min -j LOG --log-prefix "Denied TCP: " --log-level 7
-A LOGNDROP -p udp -m limit --limit 5/min -j LOG --log-prefix "Denied UDP: " --log-level 7
-A LOGNDROP -p icmp -m limit --limit 5/min -j LOG --log-prefix "Denied ICMP: " --log-level 7
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! ppp0 -m state --state NEW -j ACCEPT
-A block -i ! ppp1 -m state --state NEW -j ACCEPT
-A block -i ! ppp2 -m state --state NEW -j ACCEPT
-A block -j ACCEPT
COMMIT
# Completed on Sun Mar 23 23:21:13 2014
# Generated by iptables-save v1.4.1.1 on Sun Mar 23 23:21:13 2014
*mangle
:PREROUTING ACCEPT [7127:1496588]
:INPUT ACCEPT [5848:1183841]
:FORWARD ACCEPT [893:274258]
:OUTPUT ACCEPT [2988:1112116]
:POSTROUTING ACCEPT [3997:1398162]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Mar 23 23:21:13 2014

Вывод маршрутов (forward_ipv4 включен)
root@smtp:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
prom20-bas-1.br *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp0
Тут меня смущает отсутствие гейтвэя в дэфолте, но вроде все должно работать и так.

Вот такие дела. В чем проблема я не понимаю, куда уже смотреть тоже не знаю. По умолчанию никаких правил и скриптов не грузится, пробовал полностью очищать iptables и прописывать только правила для проброса, удалил apparmor, бесконечные перезагрузки и перепроверки настроек, пробовал разные порты назначать для проброса. Безрезультатно. Просто не открываются новые порты и все. Возможно, чтото из запущеных процессов блочит?
(Нажмите, чтобы показать/скрыть)

Подскажите люди добрые и знающие, надеюсь на Вашу помощь!
« Последнее редактирование: 23 Март 2014, 17:53:34 от er508h »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Цитировать
-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
Цепочка INPUT, как и OUTPUT в этом процессе не участвует

192.168.0.8 в интернет через этот шлюз ходит? Таблицу маршрутизации покажите.

Тут меня смущает отсутствие гейтвэя в дэфолте
Иногда лучше промолчать, чем говорить
А это что по Вашему?
root@smtp:~# route
...
default         *               0.0.0.0         U     0      0        0 ppp0

P.S. И route лучше показывать с параметром -n - помогающим не нужно гадать что есть mycomp.mydomen.my. У Вас это не наблюдается,но всё же...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн er508h

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Цитировать
-A INPUT -p tcp -m tcp --dport 3334 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
Цепочка INPUT, как и OUTPUT в этом процессе не участвует
Да, я понимаю, это от безысходности уже, "а вдруг сработает".

192.168.0.8 в интернет через этот шлюз ходит? Таблицу маршрутизации покажите.
192.168.0.8 в инет ходит через этот шлюз, между внешней и внутренней сетью только обсуждаемый шлюз.

root@smtp:~# netstat -n -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
212.19.9.1      0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0
Об этой таблице маршрутизации идет речь, я правильно понял?

Пользователь решил продолжить мысль 23 Март 2014, 20:36:20:
Вообщем, как и предполагал изначально, я дурак)
Проблема оказалась на стороне 192.168.0.8, а не шлюза. 192.168.0.8 это виртуальный сервер на Hyper-V, видимо там чего-то не настроено что извне РДП не пускает, когда изнутри сети ходит нормально.
Сейчас пробросил на другой сервер в этой же подсети, все заработало. Уперся блин при настройке в один адрес, только с ним манипуляции проводил, вот и результат.....
Завтра приду на работу буду уже смотреть, что там с 192.168.0.8 не так.
« Последнее редактирование: 23 Март 2014, 20:36:20 от er508h »

 

Страница сгенерирована за 0.07 секунд. Запросов: 25.