Добрый день. Очень прошу помощи в написании правила,потому что бьюсь с ним уже полтора месяца безрезультатно.
Ситуация: есть удаленный пк под windows (серый ip 192.168.30.5), необходимо к нему подключаться по RDP из внутренней сети предприятия. Технический маршрут следующий: ПК пользователя (с которого нужно подключаться по RDP на удаленный пк) -> frw(Centos)-> GW(CentOS) -> mikrotic -> удаленный пк Если подключить ноутбук, к примеру напрямую к микротику, то RDP работает. Значит на микротике проброс правильный сделан.
вот правило на frw:
$IPTABLES --append FORWARD --in-interface ${IFACE_G1} --out-interface ${IFACE_INET} --destination ${IP_SKLAD} --protocol tcp --dport 3389 -j ACCEPT
$IPTABLES --append FORWARD --in-interface ${IFACE_INET} --out-interface ${IFACE_G1} --source ${IP_SKLAD} --protocol tcp --sport 3389 -j ACCEPTгде, IFACE_G1 это порт в группу, куда подключен пк пользователя.
IFACE_INET это порт на GW,
IP_Sklad это ip удаленного пк.
#####################################
правило на gw:
$IPTABLES --append FORWARD --in-interface ${IFACE_FRW} --out-interface ${IFACE_SK} --destination ${IP_SKLAD} --protocol tcp --dport 3389 -j ACCEPT
$IPTABLES --append PREROUTING -t nat --in-interface ${IFACE_FRW} --protocol tcp -m tcp --dport 3389 -j DNAT --to-destination ${IP_SKLAD}
$IPTABLES --append POSTROUTING -t nat --out-interface ${IFACE_SK} --protocol tcp -m tcp --dport 3389 --destination ${IP_SKLAD} -j MASQUERADEгде, IFACE_SK это порт на микротике, через который идет выход на удаленный пк
IFACE_FWR это порт на FRW,
IP_Sklad это ip удаленного пк.
правило не срабатывает. Буду благодарна за любую помощь.
ps еще в файле /etc/sysconfig/network-scripts/route-eth0 192.168.30.5 via 192.168.252.223 dev eth0
192.168.30.5 это удаленный пк, а 192.168.252.223 это ip микротика, eth0 порт на микротике. ответ от 192.168.30.5 придёт не на 3389 порт, а на динамический.
