Dyndns и удаленный рабочий стол

[diw-volkodav]

Имеется шлюз линуховый, на котором поднят ddclient. Настроен openssh. все работает. Из инета я могу коннектиться к шлюзу по ssh соответственно. Есть мой комп(виндовый) который ходит через этот шлюз. Как я могу сделать так, чтобы из мира я мог подключаться к виндовой машине через шлюз(нужно как удаленный рабочий стол). И могу ли я это сделать?
Спасибо

[Belyaev Nikolay]

iptables port forwarding
http://www.debian-administration.org/articles/73
а на win-машине какой-н RDP клиент


----------
а ещё проще логмеин на венде поставить... хотя конечно пользоваться чужими vpn серверами не есть правильно

[diw-volkodav]

про форвардинг понял, на Win машине по умолчанию клиент стоит. Но возникло 2 вопроса:
1. не будут ли эти настройки IPTables мешать моему ssh'у?
2. в кубунте есть предустановленный клиент удаленного рабочего стола(вроде KRDC или как-то так) можно ли будет его использовать, чтобы подключаться к виндовой рабочей машине?
спасибо

[technic1]

1)Нет, можно всё настроить ssh по 22 порту. По какому порту RDP не скажу, но если тоже 22 можно сделать чтоб шлюз скажем с порта 1234 перенаправлял на Винду нужный.
2)Должен подключатся, аналогичный Гномовский работает.

[diw-volkodav]

правильно ли я понимаю, что прописав правила в для IPTables из второго поста(для wimax0) я сделаю перенаправление порта на IP 192.168.0.233(рабочий комп) от шлюза на порт, скажем 3389. Все?
Теперь я еду домой и из кубунты по KRDC лезу на свой шлюз  xxxx.dyndsn.org по порту 80, который перекидывает меня на 192.1680.233. Где я неправильно понимаю?
Нашел еще такое ssh -L 3388:termserv:3389 login@sshserverтолько 3388 это что за порт? машины-клиента?

[Tokh]

Нашел еще такое ssh -L 3388:termserv:3389 login@sshserverтолько 3388 это что за порт? машины-клиента?

Здесь есть https://forum.ubuntu.ru/index.php?topic=58404.msg431117#msg431117
VNC или RDP принципиальной роли тут не играет. Винды используют RDP.

[AnrDaemon]

-L - link
So,
link local [localhost:]3388 to remote termserv:3389 at login@sshserver

Я, например, так к роутеру на работе коннекчусь. "-L 80:trendnet.localdomain.local:80". Никаких проблем. Даже при том, что ssh сервер находится в сети, отличной от сети сервера. Удаленные имена разрешаются на стороне сервера.

[diw-volkodav]

-L - link
So,
link local [localhost:]3388 to remote termserv:3389 at login@sshserver

Я, например, так к роутеру на работе коннекчусь. "-L 80:trendnet.localdomain.local:80". Никаких проблем. Даже при том, что ssh сервер находится в сети, отличной от сети сервера. Удаленные имена разрешаются на стороне сервера.

это в консоли пишете?
P.S. Какое-то обилие информации и везде кусочками...мозг кипит. Надо просто из дома, скажем по KRDC лезть на рабочий стол компа рабочего, который находится за шлюзом, который в свою очередь идет через dyndns. Назовем это удаленной работой:)

[AnrDaemon]

На бумажке нарисуй. Обозначь физические и логические сети. Поймёшь.

[Tokh]

Я, например, так к роутеру на работе коннекчусь. "ssh ... -L 80:trendnet.localdomain.local:80".

это в консоли пишете?
P.S. Какое-то обилие информации и везде кусочками...мозг кипит. Надо просто из дома, скажем по KRDC лезть на рабочий стол компа рабочего, который находится за шлюзом, который в свою очередь идет через dyndns. Назовем это удаленной работой:)

Да, в консоли. Вместо троеточия поставить адрес компьютера и логин на том компьютере, если порт нестандартный 22, то и порт указать "-p номер-порта". Как команда выполнилась без сообщений об ошибках, то это означает, что туннель поднялся. Тогда уже можно отдельно запускать RDP-VNC клиента, указывать этому клиенту адрес для подключения trendnet.localdomain.local:80 , вроде такой адрес. Но у меня по ссылке 127.0.0.1 и под вечер не соображу, что там на какой стороне и в каком порядке разрешаются имена в IP адреса и т.п. Как у меня - так делаю, работает.

127.0.0.1 с обоих сторон одинаков.



Тут я заметил!   SSH-то на шлюзе, а Вин на клиенте позади шлюза. А тогда...

Отдельная тема - проброс порта (port forwarding через iptables, например) на самом шлюзе. Общая идея - шлюз принимает данные от сокета 127.0.0.1:5900, например. Или от сокета trendnet.localdomain.local:80. И заменяет адрес назначения 127.0.0.1 или trendnet.localdomain.local, локальным адресом управляемого компьютера. Делается это через port forwarding, через iptables. См. материалы конференции по port forwarding и прокидыванию порта.

Подробнее. При этом на шлюзе из сокета 127.0.0.1:5900, например, или из сокета trendnet.localdomain.local:80 данные появляются через SSH туннель. Ещё раньше - где-то  снаружи "кто-то" уже подключился по SSH, создал этот туннель. Ещё раньше-дальше в этой "цепи" этот кто-то указывает адрес 127.0.0.1:5555 ( или trendnet.localdomain.local:80) для подключения своей программе RDP-клиент. Всё перечислено в обратном порядке, но блок схема такая.

1) В прямом порядке: RDP клиент идёт по адресу 127.0.0.1:5555, SSH туннель отправляет это в недра шлюза, шлюз читает из 127.0.0.1:5900 и копирует это по адресу windows.net.address:5900, на управляемом компьютере с адресом windows.net.address программа RDP сервер слушает порт 5900.

2) Если SSH выкинуть, то: RDP клиент идёт по адресу адрес.шлюза в порт 5900, шлюз читает из сокета адрес.шлюза:5900 и копирует-транслирует это по адресу local.windows.net.address:5900, на управляемом компьютере с адресом local.windows.net.address программа RDP сервер слушает порт 5900 и принимает оттуда команды управления.

3) Можно OpenSSH + CygWin внедрить на управляемом Вин компьютере, SSH настроить на другой порт, на 2222, например. Порт менять т.к. 22-й уже занят на шлюзе, именно так не будет помех от одного сервиса другому сервису на шлюзе, при прокидывании порта. И на шлюзе прокидывать не RDP или ещё что-то, а прокидывать на шлюзе порт 2222 на управляемый компьютер. Подключаться по SSH к управляемому компьютеру, делать туннель, запускать RDP через этот туннель.

Целых три варианта. 2- самый простой, 1- самый сложный, имхо. Третий вариант забавен, но реально работает, данные идут зашифрованные, OpenSSH для Windows через CygWin...



КUbuntuшные RDP клиент и сервер совместимы с Виндовыми. В разных сочетаниях, раньше работало. Сейчас тоже должно работать. Только научиться порт прокинуть...

P.S. Да, не howto. Пытался объяснить "как делать", вместо "что делать".

[AnrDaemon]

Чет ты пургу нагнал...
Я уже сказал, как делать.

[diw-volkodav]

попробую попорядку:
1.что сделал... в первом ответе есть такой код про форвардинг

Код: [Выделить]

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.50:80
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth1 -j ACCEPT
у меня в сетке 2 интерфейса: wimax0 смотрит в инет, eth0 смотрит в сеть. Может, неправильно, но я написал так:

Код: [Выделить]

iptables -A PREROUTING -t nat -i wimax0 -p tcp --dport 80 -j DNAT --to 192.168.0.233:3389
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i wimax0 -j ACCEPT
Порт указал 3389(удаленный рабочий стол Винды), но чувствую, что что-то здесь не так...
Рабочий комп(192.168.0.233) в домене,если это важно.

2.залез настройки 192.168.0.233. включил удаленное управление. По локалке управлять получается.

Напомню, что openssh работает и к Linuxу я могу подключаться без проблем.

[AnrDaemon]

Раз есть SSH, нафиг городить наты? Особенно - для такой чувствительной вещи, как RDesktop?

[Tokh]

SSH на шлюзе дома, управляемый по адресу 192.168.1.50 комп позади шлюза.
1) Если автор на работе напишет ssh ... -L 80:192.168.1.50:3389 , то должно ли быть желаемое, без каких-либо дополнительных действий на шлюзе?
2) Тогда клиенту RDP на работе, видимо, надо указать 192.168.1.50:80 как адрес управляемой машины?

Я сам не пробовал, а что там у О'Рейли уже не помню.

[AnrDaemon]

Да, если SSH на шлюзе позволено делать такие финты (по умолчанию да).

Почему? localhost:80