Подключение из локалки к рабочему столу в

[ignat-by]

Здравствуйте.

У меня вот какая нетривиальная задача: есть локальная сеть организации (10 компов), в качестве шлюза стоит ubuntu server 10.04 LTS. По роду деятельности нужно позволить подключиться к удаленному рабочему столу нашим компам из своей локальной сети к компам по IP в интернете (в идеале) или хотя бы в локальной сети провайдера (хотя бы). Дело осложняется тем, что все рабочие машины ходят под виндой, кроме шлюза.
Как прокинуть порт 3389 через NAT в локалку везде написано, а вот как обратно, из локалки в интернет - нигде не нашёл.
При этом надо не к конкретной машине цепляться, а к любой и при этом эти машины в интернете.
Основное соединение по PPPoE (но без модема, IP серый, настройки по dhcp), дополнительное соединение напрямую с белым IP (Ethernet, есть шлюз и DNS). При этом на нашем шлюзе поднят DNS.

Может, кто делал такое и может чего подсказать ?
Причем на винде все это идет легко.

И ещё попутно вопрос: как в iptables сделать так, чтобы шлюз с белым IP нормально пинговался с любого места в интернете. При всех разрешениях в iptables у меня этот IP совсем не пингуется ни откуда, а войти на сервер можно только  из внутренней сети провайдера.
Опять же под виндой все работает как надо, но своей "стабильностью" винда достала и есть огромное желание переехать на Линукс.

[mitox]

Если я не ошибаюсь это дело можно пустить через маскарадинг

$IPT -t nat -A POSTROUTING -o $SV (имя интерфейса, который смотрит в инет) -d  Указываем айпишник уд раб стола -p tcp --dport 3389 -j MASQUERADE

[ignat-by]

Если я не ошибаюсь это дело можно пустить через маскарадинг

$IPT -t nat -A POSTROUTING -o $SV (имя интерфейса, который смотрит в инет) -d  Указываем айпишник уд раб стола -p tcp --dport 3389 -j MASQUERADE

Примерно так я уже делал - не получается... К тому же надо сделать так, чтобы в iptables не указывались конкретные IP. Их очень много и они не всегда заранее известны. Да и не полезут пользователи менять что-то в iptables....

[AnrDaemon]

Показывайте iptables-save

[ignat-by]

Показывайте iptables-save

Вот:

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT DROP [5082:687673]
:FORWARD DROP [35:2164]
:OUTPUT ACCEPT [121:14849]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9091 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11758 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 47,67,80,5190,9091,11758,45678 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 87,9091,11758 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o ppp0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m multiport --dports 47,67,80,5190,9091,45678 -j ACCEPT
-A FORWARD -o eth2 -p tcp -m multiport --dports 11758 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m multiport --dports 87,9091 -j ACCEPT
-A FORWARD -i eth2 -p tcp -m multiport --dports 11758 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m state --state NEW -m tcp --dport 5190 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 9091 -j ACCEPT
COMMIT
# Completed on Thu May 27 17:00:22 2010
# Generated by iptables-save v1.4.4 on Thu May 27 17:00:22 2010
*mangle
:PREROUTING ACCEPT [7995:1886360]
:INPUT ACCEPT [5224:700742]
:FORWARD ACCEPT [2757:1181613]
:OUTPUT ACCEPT [174:21725]
:POSTROUTING ACCEPT [2828:1197626]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu May 27 17:00:22 2010
# Generated by iptables-save v1.4.4 on Thu May 27 17:00:22 2010
*nat
:PREROUTING ACCEPT [5227:698285]
:POSTROUTING ACCEPT [5:1128]
:OUTPUT ACCEPT [34:3262]
-A PREROUTING -p tcp -m multiport --dports 20,21,9091,11758,49152:65534 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 45678 -j DNAT --to-destination 192.168.3.8:3389
-A PREROUTING -p tcp -m tcp --dport 9091 -j DNAT --to-destination 192.168.3.76:9091
-A PREROUTING -i eth2 -p tcp -m tcp --dport 11758 -j DNAT --to-destination 192.168.3.44:11758
-A PREROUTING -i eth2 -p tcp -m tcp --dport 11758 -j DNAT --to-destination 192.168.3.2:11758
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 94.190.122.98
-A POSTROUTING -d 192.168.3.8/32 -p tcp -m tcp --dport 3389 -j MASQUERADE
-A POSTROUTING -d 91.212.57.67/32 -o ppp0 -p tcp -j MASQUERADE
-A POSTROUTING -d 10.0.0.1/32 -o eth2 -p tcp -j MASQUERADE
-A POSTROUTING -d 94.190.122.98/32 -o ppp0 -p tcp -m tcp --dport 3389 -j MASQUERADE
-A POSTROUTING -d 212.220.70.254/32 -o eth2 -p tcp -j MASQUERADE
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu May 27 17:00:22 2010

eth0 - локальная сеть
eth1 - первый провайдер (PPPoE,) - на нем ppp0
eth2 - второй провайдер (белый статический IP)
virbr0 - как я понял от виртуальной машины

Здесь много экспериментального, а так же при установке системы была установлена виртуальная машина и  кое-что было прописано системой.

[Гарри Кашпировский]

А мысль в голову не приходила, что на той стороне провайдером просто тупо закрыт порт?

И ещё попутно вопрос: как в iptables сделать так, чтобы шлюз с белым IP нормально пинговался с любого места в интернете.

Разрешить в файрволе ответы на ICMP запросы? В том конфиге, что показан, ответ запрещен.

[ignat-by]

А мысль в голову не приходила, что на той стороне провайдером просто тупо закрыт порт?

В общем, приходила. Да скорее всего так и есть.Поэтому в первую очередь нужно настроить соединение с рабочими столами внутри сети провайдера из нашей локалки. А ведь из-под винды-то все работает.

И ещё попутно вопрос: как в iptables сделать так, чтобы шлюз с белым IP нормально пинговался с любого места в интернете.

Разрешить в файрволе ответы на ICMP запросы? В том конфиге, что показан, ответ запрещен.

А как его разрешить ?

[Гарри Кашпировский]

А ведь из-под винды-то все работает.

Посмотрел еще раз правила, не увидел разршённого порта 3389 в цепочке FORWARD, к чему бы это?

А как его разрешить ?

Код: [Выделить]

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT С интерфейсами сам

[ignat-by]

А ведь из-под винды-то все работает.

Посмотрел еще раз правила, не увидел разршённого порта 3389 в цепочке FORWARD, к чему бы это?

Вот такая строчка подойдет ?
-A FORWARD -o ppp0 -m state --state NEW -p tcp --dport 3389 -j ACCEPT

А вот такая инструкция сработает ?
-A PREROUTING -p tcp --dport 3389 -j MASQUERADE

А как его разрешить ?

Код: [Выделить]

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT С интерфейсами сам

Т.е. мне надо только поменять 0 на 8 ?

Сейчас попробую.
Пользователь решил продолжить мысль 27 Мая 2010, 17:44:11:В общем, ничего из вышенаписанного не сработало...

[Гарри Кашпировский]

А с чего оно должно было сработать?
Значит так, идем простым путём.

Код: [Выделить]

# iptables-save >/etc/iptables_paranoid.conf
# iptables -F
# iptables -X
# iptables -t nat -A POSTROUTING -s local_net/mask  ! -d local_net/mask -j MASQUERADE
# iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Заработало? Если чудо, то

Код: [Выделить]

iptables-restore /etc/iptables_paranoid.conf
И разбираться.

[ignat-by]

Спасибо за желание помочь, однако

А с чего оно должно было сработать?
Значит так, идем простым путём.

Код: [Выделить]

# iptables-save >/etc/iptables_paranoid.conf
# iptables -F
# iptables -X
# iptables -t nat -A POSTROUTING -s local_net/mask  ! -d local_net/mask -j MASQUERADE


не сработало.

Код: [Выделить]

# iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


А подобная строка была изначально, только с привязкой к конкретному интерфейсу.

Задача проникнуть из локалки на компы в сети провайдера оказалась очень нетривиальной. Вот только как бы её решить ? Всю голову уже сломал....
Пользователь решил продолжить мысль 28 Мая 2010, 03:55:02:Размышлизмы: а если выход из локалки  в сеть провайдера организовать через роутинг ?....  Вот только с правилами че-то у меня неполучается.... Но при этом проблема возникает в том, что одно из соединений динамичное (dhcp), хотя на практике ни IP ни DNS не меняется, только адрес шлюза иногда...
Пользователь решил продолжить мысль 28 Мая 2010, 08:42:54:Родил вот такое, но чего-то то же не пашет:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 94.190.112.73
iptables -t nat -A POSTROUTING -p tcp -d 94.190.112.73 --dport 3389 -j MASQUERADE

где eth0 - интерфейс в локалку, 94.190.112.73 - адрес шлюза основного провайдера (который по dhcp)

При этом трассировка застревает на этом самом шлюзе.
А как прописать, что бы вместо адреса шлюза была подсеть типа 94.190.0.0/16 или название выходного интерфейса типа -o ppp0 ?

[Гарри Кашпировский]

Довольно странно, остается только предположить, что команда
cat /proc/sys/net/ipv4/ip_forward возвращает значение 0,
или провайдер действительно закрыл порт.

[ignat-by]

Довольно странно, остается только предположить, что команда
cat /proc/sys/net/ipv4/ip_forward возвращает значение 0,
или провайдер действительно закрыл порт.

cat /proc/sys/net/ipv4/ip_forward возвращает значение 1, тут всё нормально.

да и порт вряд ли закрыт, т.к. через шлюз на винде все нормально цепляется.

А в -j DNAT --to-destination адрес конкретной машины как-то можно заменить на адрес сети 94.190.0.0/16 ?

[mitox]

если не сложно выложи плиз скрипт с  правилами iptables  и  конфиг networks

[Гарри Кашпировский]

В DNAT, нет.