Проброс порта для RDP подключения

[Сергей_Галат]

Доброго времени суток!
Есть машина с Ubuntu 14.04 TLS с двумя сетевыми картами, раздающая интернет на организацию. Нужно, чтобы снаружи через интернет можно было подключиться к серверу во внутренней сети по RDP. Причем снаружи нужно стучаться на порт 5001, это обязательное условие. Подключение не происходит: "Удаленный компьютер выключен..." и т.д.
10.190.96.5 - это сервер, к которому надо подключиться
10.190.98.6 - ip интерфейса, на который приходит интернет
Вот текст моих правил для iptables:

#!/bin/sh

# eth0 - локальная сеть
# eth1 - интернет

# Load IPTABLES modules for NAT and IP conntrack support
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe nf_conntrack_pptp
/sbin/modprobe nf_nat_pptp

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Неограниченный доступ в LAN
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Разрешаем доступ к портам 5001, 3389
iptables -A INPUT -p tcp -m multiport -i eth1 --dports 5001 -j ACCEPT
iptables -A INPUT -p tcp -m multiport -i eth0 --dports 5001,3389 -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

#Включаем NAT и раздаем Интернет
iptables -t nat -A POSTROUTING -o eth1 -s 10.190.96.0/24 -j MASQUERADE

iptables --append FORWARD --in-interface eth0 -j ACCEPT

#Пробрасываем порт 3389 на сервер 10.190.96.5 и разрешаем RDP подключение
iptables -t nat -A PREROUTING -d 10.190.98.6 -p tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
iptables -A FORWARD -i eth1 -o eth0 -d 10.190.96.5 -p tcp --dport 3389 -j ACCEPT

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth1 -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT

# DROP everything and Log it
iptables -A INPUT -j LOG

[AnrDaemon]

iptables-save
показывайте.

[Сергей_Галат]

Хорошо, завтра буду на работе - покажу.
Пользователь добавил сообщение 30 Августа 2016, 14:59:05:Сделал выгрузку правил iptables:

# Generated by iptables-save v1.4.21 on Tue Aug 30 14:56:49 2016
*nat
:PREROUTING ACCEPT [1359:134842]
:INPUT ACCEPT [205:21876]
:OUTPUT ACCEPT [441:30880]
:POSTROUTING ACCEPT [441:30880]
-A PREROUTING -d 10.190.98.6/32 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
-A POSTROUTING -s 10.190.96.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Aug 30 14:56:49 2016
# Generated by iptables-save v1.4.21 on Tue Aug 30 14:56:49 2016
*filter
:INPUT ACCEPT [76:10586]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [399:35588]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 5001 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 5001,3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Tue Aug 30 14:56:49 2016

[fisher74]

1.

*filter
-A INPUT -i eth1 -p tcp -m multiport --dports 5001 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 5001,3389 -j ACCEPT

бред, видимо добавлено по принципу "ни фига не работает"

2.

-A FORWARD -i eth0 -j ACCEPT

уыитывая предыдущее правило

-A FORWARD -i eth0 -o eth1 -j ACCEPT

то же что и первый пункт...

3.

-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

после прероутинга destination-address будет другой
тем не менее ни это правило, ни дефолтное цепочки FORWARD не помешает работе портфорварда

4.

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT

Здесь тоже что и всё предыдущее...


Короче, убирайте весь этот помёт - без него прекрасно будет работать.

[Сергей_Галат]

Убрал, результат тот же. Вот iptables-save

# Generated by iptables-save v1.4.21 on Tue Aug 30 17:34:51 2016
*nat
:PREROUTING ACCEPT [45486:4192457]
:INPUT ACCEPT [6769:609543]
:OUTPUT ACCEPT [852:63246]
:POSTROUTING ACCEPT [853:63286]
-A PREROUTING -d 10.190.98.6/32 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
-A POSTROUTING -s 10.190.96.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Aug 30 17:34:51 2016
# Generated by iptables-save v1.4.21 on Tue Aug 30 17:34:51 2016
*filter
:INPUT ACCEPT [22881:1997696]
:FORWARD ACCEPT [1:40]
:OUTPUT ACCEPT [1273:116710]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 5001 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Aug 30 17:34:51 2016

[fisher74]

Я вас огорчу. 10.190.98.6 - "серый" адрес, вероятнее всего, локальной сети Вашей организации (возможно "головняка"). А потому условием выпячивания этого порта в интернет выступает необходимость проброса порта на шлюзе, имеющем "белый" IP-адрес

[Сергей_Галат]

Да, действительно, шлюзом на интерфейсе eth1 выступает аппаратный межсетевой экран Altell, на  который сначала приходит интернет с adsl модема, работающего в режиме мост. На нём (на Altell) порт 5001 открыт, это абсолютно точно. Дело в том, что до ubuntu интернет раздавался через ICS с виндовой машины, которая имела два сетевых интерфейса с теми же параметрами. На ней проброс настраивался по тому же принципу (т.е. пакеты приходят на eth1 на порт 5001 и далее пробрасываются на 10.190.96.5 на порт 3389) и по этой схеме RDP работало (возможно, в Altell настроена привязка к mac адресу той виндовой машины). Попробую проконсультироваться с админами нашей головной конторы, может быть, всё-таки есть решение ?

[AnrDaemon]

Открыть мало, надо пробрасывать.

[Сергей_Галат]

На ту виндовую машину интернет приходил с Altell. Вот я и предполагаю, что в Altell как раз и настроен проброс на интерфейс той виндовой машины по mac адресу.  Всю ip адресацию на сетевых интерфейсах ubuntu я сделал точно такой же, как на той виндовой машине. Поэтому и не приходят пакеты на порт 5001 на мою ubuntu. Завтра на работе выясню, так ли это.

[AnrDaemon]

Надо не предполагать, а знать. Чья сеть? Ваша или ХЗ чья?

[Сергей_Галат]

Интернет сначала приходит на маршрутизатор cisco 1811 и настроен проброс с нашего белого IP c порта 3389 на порт 5001 на адрес 10.190.98.6. Потом проходит через Altell. Порт 5001 открыт на Altell.   Какой либо привязки к mac адресу нет. Если пробую подключиться по RDP из локальной сети (eth0) на 5001, то тоже не подключается.

[fisher74]

Если рассматриваемый шлюз нормально раздаёт интернет, то тогда мониторьте интерефйсы и смотрите что куда уходит/теряется.

Кстати, сервер RDP в интернет выходит?

[Сергей_Галат]

Интернет раздается без проблем, сервер RDP в интернет выходит нормально. Не проверил еще сам сервер, может на нем что-то блокирует, хотя не должно.

[fisher74]

tcpdump в помощь

[Сергей_Галат]

Спасибо, завтра попробую.