Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Проброс порта для RDP подключения  (Прочитано 2110 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Проброс порта для RDP подключения
« : 29 Август 2016, 15:47:59 »
Доброго времени суток!
Есть машина с Ubuntu 14.04 TLS с двумя сетевыми картами, раздающая интернет на организацию. Нужно, чтобы снаружи через интернет можно было подключиться к серверу во внутренней сети по RDP. Причем снаружи нужно стучаться на порт 5001, это обязательное условие. Подключение не происходит: "Удаленный компьютер выключен..." и т.д.
10.190.96.5 - это сервер, к которому надо подключиться
10.190.98.6 - ip интерфейса, на который приходит интернет
Вот текст моих правил для iptables:

#!/bin/sh

# eth0 - локальная сеть
# eth1 - интернет

# Load IPTABLES modules for NAT and IP conntrack support
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe nf_conntrack_pptp
/sbin/modprobe nf_nat_pptp

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Неограниченный доступ в LAN
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Разрешаем доступ к портам 5001, 3389
iptables -A INPUT -p tcp -m multiport -i eth1 --dports 5001 -j ACCEPT
iptables -A INPUT -p tcp -m multiport -i eth0 --dports 5001,3389 -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

#Включаем NAT и раздаем Интернет
iptables -t nat -A POSTROUTING -o eth1 -s 10.190.96.0/24 -j MASQUERADE

iptables --append FORWARD --in-interface eth0 -j ACCEPT

#Пробрасываем порт 3389 на сервер 10.190.96.5 и разрешаем RDP подключение
iptables -t nat -A PREROUTING -d 10.190.98.6 -p tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
iptables -A FORWARD -i eth1 -o eth0 -d 10.190.96.5 -p tcp --dport 3389 -j ACCEPT

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth1 -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT

# DROP everything and Log it
iptables -A INPUT -j LOG

« Последнее редактирование: 29 Август 2016, 15:52:48 от Сергей_Галат »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #1 : 29 Август 2016, 17:14:46 »
iptables-save
показывайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #2 : 29 Август 2016, 18:46:32 »
Хорошо, завтра буду на работе - покажу.

Пользователь добавил сообщение 30 Август 2016, 14:59:05:
Сделал выгрузку правил iptables:

# Generated by iptables-save v1.4.21 on Tue Aug 30 14:56:49 2016
*nat
:PREROUTING ACCEPT [1359:134842]
:INPUT ACCEPT [205:21876]
:OUTPUT ACCEPT [441:30880]
:POSTROUTING ACCEPT [441:30880]
-A PREROUTING -d 10.190.98.6/32 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
-A POSTROUTING -s 10.190.96.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Aug 30 14:56:49 2016
# Generated by iptables-save v1.4.21 on Tue Aug 30 14:56:49 2016
*filter
:INPUT ACCEPT [76:10586]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [399:35588]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 5001 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 5001,3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Tue Aug 30 14:56:49 2016
« Последнее редактирование: 30 Август 2016, 14:59:05 от Сергей_Галат »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #3 : 30 Август 2016, 15:09:16 »
1.
*filter
-A INPUT -i eth1 -p tcp -m multiport --dports 5001 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 5001,3389 -j ACCEPT
бред, видимо добавлено по принципу "ни фига не работает"

2.
-A FORWARD -i eth0 -j ACCEPT
уыитывая предыдущее правило
-A FORWARD -i eth0 -o eth1 -j ACCEPT
то же что и первый пункт...

3.
-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
после прероутинга destination-address будет другой
тем не менее ни это правило, ни дефолтное цепочки FORWARD не помешает работе портфорварда

4.
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
Здесь тоже что и всё предыдущее...


Короче, убирайте весь этот помёт - без него прекрасно будет работать.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #4 : 30 Август 2016, 17:37:01 »
Убрал, результат тот же. Вот iptables-save

# Generated by iptables-save v1.4.21 on Tue Aug 30 17:34:51 2016
*nat
:PREROUTING ACCEPT [45486:4192457]
:INPUT ACCEPT [6769:609543]
:OUTPUT ACCEPT [852:63246]
:POSTROUTING ACCEPT [853:63286]
-A PREROUTING -d 10.190.98.6/32 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 10.190.96.5:3389
-A POSTROUTING -s 10.190.96.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Aug 30 17:34:51 2016
# Generated by iptables-save v1.4.21 on Tue Aug 30 17:34:51 2016
*filter
:INPUT ACCEPT [22881:1997696]
:FORWARD ACCEPT [1:40]
:OUTPUT ACCEPT [1273:116710]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -d 10.190.96.5/32 -i eth1 -o eth0 -p tcp -m tcp --dport 5001 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Aug 30 17:34:51 2016

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #5 : 30 Август 2016, 18:31:03 »
Я вас огорчу. 10.190.98.6 - "серый" адрес, вероятнее всего, локальной сети Вашей организации (возможно "головняка"). А потому условием выпячивания этого порта в интернет выступает необходимость проброса порта на шлюзе, имеющем "белый" IP-адрес
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #6 : 30 Август 2016, 19:02:37 »
Да, действительно, шлюзом на интерфейсе eth1 выступает аппаратный межсетевой экран Altell, на  который сначала приходит интернет с adsl модема, работающего в режиме мост. На нём (на Altell) порт 5001 открыт, это абсолютно точно. Дело в том, что до ubuntu интернет раздавался через ICS с виндовой машины, которая имела два сетевых интерфейса с теми же параметрами. На ней проброс настраивался по тому же принципу (т.е. пакеты приходят на eth1 на порт 5001 и далее пробрасываются на 10.190.96.5 на порт 3389) и по этой схеме RDP работало (возможно, в Altell настроена привязка к mac адресу той виндовой машины). Попробую проконсультироваться с админами нашей головной конторы, может быть, всё-таки есть решение ?
« Последнее редактирование: 30 Август 2016, 21:16:26 от Сергей_Галат »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #7 : 30 Август 2016, 21:22:21 »
Открыть мало, надо пробрасывать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #8 : 30 Август 2016, 21:36:19 »
На ту виндовую машину интернет приходил с Altell. Вот я и предполагаю, что в Altell как раз и настроен проброс на интерфейс той виндовой машины по mac адресу.  Всю ip адресацию на сетевых интерфейсах ubuntu я сделал точно такой же, как на той виндовой машине. Поэтому и не приходят пакеты на порт 5001 на мою ubuntu. Завтра на работе выясню, так ли это.
« Последнее редактирование: 30 Август 2016, 21:40:19 от Сергей_Галат »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #9 : 30 Август 2016, 21:45:54 »
Надо не предполагать, а знать. Чья сеть? Ваша или ХЗ чья?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #10 : 31 Август 2016, 15:27:12 »
Интернет сначала приходит на маршрутизатор cisco 1811 и настроен проброс с нашего белого IP c порта 3389 на порт 5001 на адрес 10.190.98.6. Потом проходит через Altell. Порт 5001 открыт на Altell.   Какой либо привязки к mac адресу нет. Если пробую подключиться по RDP из локальной сети (eth0) на 5001, то тоже не подключается.
« Последнее редактирование: 31 Август 2016, 16:08:37 от Сергей_Галат »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #11 : 31 Август 2016, 16:47:47 »
Если рассматриваемый шлюз нормально раздаёт интернет, то тогда мониторьте интерефйсы и смотрите что куда уходит/теряется.

Кстати, сервер RDP в интернет выходит?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #12 : 31 Август 2016, 19:32:25 »
Интернет раздается без проблем, сервер RDP в интернет выходит нормально. Не проверил еще сам сервер, может на нем что-то блокирует, хотя не должно.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #13 : 31 Август 2016, 20:15:48 »
tcpdump в помощь
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Сергей_Галат

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Re: Проброс порта для RDP подключения
« Ответ #14 : 31 Август 2016, 21:07:34 »
Спасибо, завтра попробую.

 

Страница сгенерирована за 0.231 секунд. Запросов: 24.