Защита + доступ RDP

[Fanisk]

Всем привет. Сразу прошу прощения, если тема избита.
Имеется машина с eth0 и eth1.
eth0 -внутренняя сеть- 130.0.
eth1 -внешка Стрим со статическим ip. 
Роль этой машины - закрыть доступ из вне всему что только можно кроме...
Задача следующая: Сделать так, чтобы через эту машину можно было войти только по rdp из внешки на компьютер с адресом 130.0.1.24 (например) который соответственно находится внутри сети.
Собственно вопос в следующем, как это можно организовать? Можно это сделать только при помощи iptables?  Если только iptables, то как будет выглядить форвардмнг порта 3389?

[AnrDaemon]

Два варианта.
1. Сделать прямо, как написано.
man iptables
DNAT target
Обеспечение безопасности в этом случае ложится на клиентскую машину.

2. Пользовать ssh port forward.
Тут уже безопасность на уровне сервера.
Клиент может быть хоть вообще беспарольный, лишь бы подключение к серверу паролилось.
В этом случае никто не мешает адресоваться к любой машине в сети по любым портам.

[Fanisk]

Я делал следующее:
Создал файл netfilter, в /etc/init.d/,, сделал его исполняемым chmod +x /etc/init.d/netfilter
ну update-rc.d netfilter defaults.
В скрипт добавил

(Нажмите, чтобы показать/скрыть)

# iptables -t nat -A PREROUTING --dst 62.XXX.XXX.XXX -p tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
# iptables -t nat -A POSTROUTING -d 130.0.0.43 -o eth0 -p tcp --dport 3389 -j SNAT --to-source 62.XXX.XXX.XXX

Я так понял этого не достаточно?
Что касаемо защиты, на данный момент мне просто необходимо реализовать подключение rdp на вин сервер.

[AnrDaemon]

Это слишком много.
Посмотри, что у тебя получается в iptables-save после перезагрузки.

Я лично делаю так. (Ниже описание)

[Fanisk]

Вот iptables-save, смущает что 32 везде 

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Thu Jun 10 19:51:19 2010
*nat
:PREROUTING ACCEPT [3:330]
:POSTROUTING ACCEPT [5:317]
:OUTPUT ACCEPT [5:317]
-A PREROUTING -d 62.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
-A PREROUTING -d 62.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.XXX.XXX.XXX
-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.XXX.XXX.XXX
COMMIT
# Completed on Thu Jun 10 23:52:19 2010

Пользователь решил продолжить мысль 10 Июня 2010, 20:04:24:

Вот iptables-save, смущает что 32 бита везде и повторяются правил везде 

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Thu Jun 10 19:51:19 2010
*nat
:PREROUTING ACCEPT [3:330]
:POSTROUTING ACCEPT [5:317]
:OUTPUT ACCEPT [5:317]
-A PREROUTING -d 62.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
-A PREROUTING -d 62.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.XXX.XXX.XXX
-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.XXX.XXX.XXX
COMMIT
# Completed on Thu Jun 10 19:51:19 2010

[Mam(O)n]

А ip транзит включен? sysctl net.ipv4.ip_forward должен отдавать единицу. 

/32 это нормально, подразумевает, что относится к конкретному хосту.

Правила дублируется, потому что скрипт несколько раз стартует. Делай лучше так, как здесь советуют.

[Fanisk]

Всё сделал как подскзаали (спасибо за мануал, очень удобно  красиво). Имею следующее:
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Fri Jun 11 18:33:36 2010
*nat
:PREROUTING ACCEPT [3797:566645]
:POSTROUTING ACCEPT [8:503]
:OUTPUT ACCEPT [8:503]
-A PREROUTING -d 62.xxx.xxx.xxx0/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.xxx.xxx.xxx
COMMIT
# Completed on Fri Jun 11 18:33:36 2010

и net.ipv4.ip_forward = 1

Коннектиться никак не хочет, что-то не так   сделал и  или надо добавить правила?

[Mam(O)n]

Вроде этого должно хватить. Шлюз у клиента правильно настроен? А если глянуть через призму tcpdump/wireshark, что то интересное видно?

-A POSTROUTING -d 130.0.0.43/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 62.xxx.xxx.xxx

Это сменит адрес источника. Это точно тебе нужно?

[AnrDaemon]

-A POSTROUTING -s 130.0.0.43/32 -p tcp -m tcp --sport 3389 -m conntrack --ctstate RELATED,ESTABLISHED -j SNAT --to-source 62.xxx.xxx.xxx

[Mam(O)n]

-A POSTROUTING -s 130.0.0.43/32 -p tcp -m tcp --sport 3389 -m conntrack --ctstate RELATED,ESTABLISHED -j SNAT --to-source 62.xxx.xxx.xxx

А разве DNAT сам не справится?

[AnrDaemon]

Проверь tcpdump в зубы.
Но даже если справится - строчка лишняя.

[Mam(O)n]

Проверь

Ну не просто так спрашиваю. Была бы возможность конечно проверил бы.

[Fanisk]

Ток на работу пришёл, щас всё разгребу и займусь, сразу отпишу как что
Пользователь решил продолжить мысль 16 Июня 2010, 08:13:59:iptables -L

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere            имяпк.домен.org     

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Wed Jun 16 10:11:29 2010
*filter
:INPUT ACCEPT [32559:3924104]
:FORWARD ACCEPT [68:4106]
:OUTPUT ACCEPT [398:33952]
-A FORWARD -d 130.0.0.15/32 -i 62.xxx.xxx.xxx -j ACCEPT
COMMIT
# Completed on Wed Jun 16 10:11:29 2010
# Generated by iptables-save v1.4.2 on Wed Jun 16 10:11:29 2010
*nat
:PREROUTING ACCEPT [14976:1775153]
:POSTROUTING ACCEPT [34:2151]
:OUTPUT ACCEPT [34:2151]
-A PREROUTING -d 62.xxx.xxx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 130.0.0.15:3389 
COMMIT
# Completed on Wed Jun 16 10:11:29 2010

Никак не получается зайти по рдп, и с Вашей строчкой то же. Подскажите пожалуйста, что может мешать-то?
Пользователь решил продолжить мысль 16 Июня 2010, 14:22:34:У меня всё получилось.
Я видимо неправильно поставил вопрос изначально: Мне нужно было из инета попасть по rdp на машину внутри сети через iptabes.
Мой конфиг исключающий остальные правила(в частности то что мне нужно было реализовать):'

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
iptables -t nat -I PREROUTING --dst 62.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
iptables -t nat -I POSTROUTING -p tcp --dst 130.0.0.43 --dport 3389 -j SNAT --to-source 130.0.0.84
iptables -t nat -I OUTPUT --dst 62.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 130.0.0.43:3389
iptables -I FORWARD -i 62.xxx.xxx.xxx --dst 130.0.0.43 -j ACCEPT

Пояснения. iptables -отдельный комп с двумя интерфейсами eth0 и eth1. eth0-130.0.0.84 eth1-62.xxx.xxx.xxx
ip адрес машины которая находится внутри сети и на которую надо было попасть- 130.0.0.43

Всем спасибо за советы и наводки, man man man надо читать было.