Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проброс портов RDP через NAT  (Прочитано 3334 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Проброс портов RDP через NAT
« : 27 Июнь 2017, 20:09:05 »
Доброе время суток, либо мои знания скудны и ограничены, либо одно из двух...

Классическая задача - необходимо пробросить RDP порт через NAT.
Сейчас использую rinetd - все просто и работает, но идет подмена источника, в логах вместо ip клиента указывается ip шлюза. Мучался с iptables - пошерстил сеть, не понимаю где кроется ошибка, то ли параметр какой забыл, то ли порядок неверный.

Минимально обрезанный iptables, т.к. изначально был еще openvpn прокинут. Если нужно - покажу целиком

# LAN interface
IF0="eth0"
# WAN interface 1
IF1="eth1"

# IP WAN interface 1
IP1="110.120.130.205"

# gateway 1
P1="110.120.130.254"

# LAN netmask
P0_NET="10.0.0.0/24"
# WAN1 netmask
P1_NET="110.120.130.0/24"

####################

# Очищаем правила
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Запрещаем все, что не разрешено
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Разрешаем localhost и локалку
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o $IF0 -j ACCEPT

# Разрешаем пинги
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем все исходящие подключения сервера
iptables -A OUTPUT -o $IF1 -j ACCEPT

# Разрешаем установленные подключения
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Отбрасываем неопознанные пакеты
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

# Отбрасываем нулевые пакеты
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Разрешаем доступ из локалки наружу
iptables -A FORWARD -i $IF0 -o $IF1 -j ACCEPT

# Закрываем доступ снаружи в локалку
iptables -A FORWARD -i $IF1 -o $IF0 -j REJECT

# Переадресация 80 и 443 портов на прозрачный сквид
iptables -t nat -A PREROUTING -p tcp -m tcp -s 10.0.0.0/24 --dport 443 -j REDIRECT --to-ports 3443
iptables -t nat -A PREROUTING -p tcp -m multiport -s 10.0.0.0/24 --dports 80,81,82,88,1080,3127,3128,7900,8000,8080,8081,8088,8123,8888,9090 -j REDIRECT --to-ports 3080

# Включаем NAT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j MASQUERADE

# Открываем порты
iptables -A INPUT -i $IF1 -p tcp --dport 55555 -j ACCEPT

iptables -A INPUT -i $IF1 -p tcp --dport 55554 -j ACCEPT
iptables -A FORWARD -i $IF1 -p tcp --dport 55554 -j ACCEPT

iptables -A INPUT -i $IF0 -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -i $IF0 -p udp --dport 123 -j ACCEPT

# Открываем доступ к web серверу
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Сохраняем правила
/sbin/iptables-save  > /etc/iptables.rules
iptables-restore < /etc/iptables.rules


Прокидываю 55554 порт на 10.0.0.10:3389
iptables -t nat -A PREROUTING -p tcp -d 110.120.130.205 --dport 55554 -j DNAT --to-destination 10.0.0.10:3389
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.10 --dport 55554 -j SNAT --to-source 110.120.130.205
...и так...
iptables -t nat -A PREROUTING -d 110.120.130.205/32 -p tcp -m tcp --dport 55554 -j DNAT --to-destination 10.0.0.10:3389
iptables -t nat -A POSTROUTING -s 10.0.0.10/32 -p tcp -m tcp --dport 55554 -j SNAT --to-source 110.120.130.205
« Последнее редактирование: 27 Июнь 2017, 20:13:01 от xsash »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #1 : 29 Июнь 2017, 07:55:35 »
Минимально обрезанный iptables
Только обрезан не минимально, а максимально

Если нужно - покажу целиком
Совсем целиком не нужно, достаточно таблицу nat

PS Это
Цитировать
iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.10 --dport 55554 -j SNAT --to-source 110.120.130.205
не правильное правило
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #2 : 02 Июль 2017, 19:01:40 »
текущий iptables, переписал первоначальный, т.к. часть правил потеряла актуальность
https://pastebin.com/RPsTQ1zG

iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             state INVALID
DROP       tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:44022
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:55555
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3389
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4444
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:22000
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ntp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
ACCEPT     tcp  --  10.0.0.0/24          anywhere             tcp dpt:domain
ACCEPT     udp  --  10.0.0.0/24          anywhere             udp dpt:domain
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             state INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:3389

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     all  --  anywhere             anywhere

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #3 : 02 Июль 2017, 19:49:36 »
Таблицу filter не очень интересна, кроме, пожалуй, цепочки FORWARD
А просили-то ...
достаточно таблицу nat

А вообще лучше сразу показать все правила командой sudo iptables-save, много быстрее получится решение проблемы.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #4 : 02 Июль 2017, 22:55:37 »
# Generated by iptables-save v1.4.21 on Sun Jul  2 23:57:45 2017
*filter
:INPUT DROP [1:48]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 44022 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 55555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Sun Jul  2 23:57:45 2017
# Generated by iptables-save v1.4.21 on Sun Jul  2 23:57:45 2017
*nat
:PREROUTING ACCEPT [32:8117]
:INPUT ACCEPT [12:821]
:OUTPUT ACCEPT [12:864]
:POSTROUTING ACCEPT [12:864]
-A PREROUTING -d 110.120.130.205/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.10:3389
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3443
-A PREROUTING -s 10.0.0.0/24 -p tcp -m multiport --dports 80,81,82,88,1080,3127,3128,7900,8000,8080,8081,8088,8123,8888,9090 -j REDIRECT --to-ports 3080
-A POSTROUTING -s 10.0.0.0/24 -o eth1 -j SNAT --to-source 110.120.130.205
COMMIT
# Completed on Sun Jul  2 23:57:45 2017
# Generated by iptables-save v1.4.21 on Sun Jul  2 23:57:45 2017
*mangle
:PREROUTING ACCEPT [204:29341]
:INPUT ACCEPT [142:12485]
:FORWARD ACCEPT [45:12364]
:OUTPUT ACCEPT [166:58851]
:POSTROUTING ACCEPT [211:71215]
COMMIT
# Completed on Sun Jul  2 23:57:45 2017
« Последнее редактирование: 02 Июль 2017, 22:58:58 от xsash »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #5 : 03 Июль 2017, 07:58:59 »
На шлюзе всё правильно. Если не работает, то показывайте таблицу маршрутизации rdp-сервера
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #6 : 03 Июль 2017, 09:26:33 »
DHCP на шлюзе, если важно

У меня сейчас настроен и работает проброс порта через rinetd (не только с rdp пробросом).
Пинги, естественно, бегают между 10.0.0.1 (шлюз) и 10.0.0.10 (win)

# bindadress    bindport  connectaddress  connectport
110.120.130.205 55555 10.0.0.10 3389

Соответственно через 55555 я без проблем захожу на win сервер, но rinetd делает подмену ip адреса клиента на ip адрес шлюза 10.0.0.1 из-за чего я не могу отслеживать и блокировать rdp брут (да про риск, про vpn, port knocking я в курсе).
Потому я ищу условно любой способ проброса порта с сохранением ip клиента.


IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.1        10.0.0.10     11
         10.0.0.0    255.255.255.0         On-link         10.0.0.10    266
        10.0.0.10  255.255.255.255         On-link         10.0.0.10    266
       10.0.0.255  255.255.255.255         On-link         10.0.0.10    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.0.0.10    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.0.0.10    266

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #7 : 03 Июль 2017, 10:25:13 »
минуту.... какой rinetd? rdp-сервер на шлюзе или на отдельной машине? Порт 55555 никуда не проброшен. Проброшен только 3389 на машину 10.0.0.10
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #8 : 03 Июль 2017, 10:37:15 »
rinetd стоит на шлюзе

в iptables открыт порт 55555, который слушает rinetd и дальше уже перенаправляет на win сервер

шлюз 10.0.0.1
win rdp 10.0.0.10
« Последнее редактирование: 03 Июль 2017, 10:50:51 от xsash »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #9 : 03 Июль 2017, 13:27:55 »
ах вот какой костыль... ну а тогда что же Вы хотите? В этой конструкции в качестве клиента rdp выступает rinetd, "потому и не кусают" ©

А что мешает обычным механизмом перенаправить?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #10 : 03 Июль 2017, 17:32:06 »
Я хочу избавиться от rinetd и сделать перенаправление через iptables, чтобы не было подмены ip источника
Цитировать
rinetd - достаточно лёгкая утилита. К недостаткам можно отнести тот факт, что при пробросе порта будет светиться IP-адрес сервера, на котором осуществляется проброс, а не того клиента, который подключается к проброшенному порту. То есть, тоже ПОДМЕНЯЕТ SRC-ADDRESS

А как может сейчас мешать rinetd?
Он слушает порт шлюз:55555 => 10.0.0.1:3389, а я стараюсь пробросить шлюз:3389 => 10.0.0.1:3389

ps. Сейчас отключил rinetd - логично, что не помогло. На win сервере порт то 3389 может принимать больше одного подключения
« Последнее редактирование: 03 Июль 2017, 20:09:15 от xsash »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #11 : 04 Июль 2017, 18:13:27 »
Порт 3389 у Вас уже проброшен до rdp-сервера средствами iptables.
Ещё раз более подробней объясните какова задача: заюзать rinetd или получить доступ к rdp-серверу из вне?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #12 : 04 Июль 2017, 20:17:05 »
>Ещё раз более подробней объясните какова задача: заюзать rinetd или получить доступ к rdp-серверу из вне?
ОКей, итак есть белый ip адрес, условно 110.120.130.205.
Есть интернет шлюз, естественно с двумя сетевыми картами, wan - eth1, lan - eth0.
wan = 110.120.130.205
lan = 10.0.0.1 / 24

Компьютеры в локалке живут за NATом.
Компьютер с ip адресом 10.0.0.10 является win сервером, куда мне (и не только мне) нужен доступ из дома, тобишь "из вне".

Итого когда я подключаюсь rdp клиентом к 110.120.130.205:55555 шлюз перенаправляет меня на 10.0.0.10:3389
Сейчас это работает на rinetd. У которого есть недостаток, в логах win сервера все соединения идут не с "внешки", а от имени шлюза 10.0.0.1.

Задача избавиться от rinetd и сделать проброс через iptables

>Порт 3389 у Вас уже проброшен до rdp-сервера средствами iptables.
В iptables вроде правила прописаны корректно, пробрасываю 55550 3389. Но не работает. Нет соединения у клиента.
« Последнее редактирование: 04 Июль 2017, 22:22:49 от xsash »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #13 : 04 Июль 2017, 22:00:33 »
пробрасываю 55550. Но не работает. Нет соединения у клиента.
Видимо пора показать как Вы это делаете

Предлагаю в таком виде:
"После пробразывания порта 55555 у меня получились вот такой набор правил"
и показываете выхлоп iptables-save
« Последнее редактирование: 04 Июль 2017, 22:04:02 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн xsash

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Проброс портов RDP через NAT
« Ответ #14 : 04 Июль 2017, 22:22:58 »
Прошу прощения, "опечатался", вместо "55550" читать "3389".
Сообщение выше отредактировал

В 4 сообщении показывал iptables

# Generated by iptables-save v1.4.21 on Tue Jul  4 23:17:29 2017
*mangle
:PREROUTING ACCEPT [214:33006]
:INPUT ACCEPT [201:32493]
:FORWARD ACCEPT [13:513]
:OUTPUT ACCEPT [207:60385]
:POSTROUTING ACCEPT [214:60706]
COMMIT
# Completed on Tue Jul  4 23:17:29 2017
# Generated by iptables-save v1.4.21 on Tue Jul  4 23:17:29 2017
*nat
:PREROUTING ACCEPT [7:481]
:INPUT ACCEPT [47:2561]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 110.120.130.205/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.10:3389
-A PREROUTING -s 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3443
-A PREROUTING -s 10.0.0.0/24 -p tcp -m multiport --dports 80,81,82,88,1080,3127,3128,7900,8000,8080,8081,8088,8123,8888,9090 -j REDIRECT --to-ports 3080
-A POSTROUTING -s 10.0.0.0/24 -o eth1 -j SNAT --to-source 110.120.130.205
COMMIT
# Completed on Tue Jul  4 23:17:29 2017
# Generated by iptables-save v1.4.21 on Tue Jul  4 23:17:29 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 44022 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 55555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4444 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Tue Jul  4 23:17:29 2017

110.120.130.205:55555 - работает
110.120.130.205:3389 - не работает

 

Страница сгенерирована за 0.218 секунд. Запросов: 24.