LINUX.ORG.RU
ФорумAdmin

[i hate windows] Iptables+NAT+RDP


0

0

Никто не настраивал? Вся офисная сетка находится за шлюзом. У шлюза 2 сетевушки - eth0(195.206.162.170) смотрит наружу, eth1(192.168.1.199) - в локалку. Там стоит гента-2008. Необходимо из дому (с винды) пролезть на комп 192.168.1.200 (там тоже форточки) по RDP.

Надо составить правило iptables. Если не ошибаюсь, RDP слухает порт 3389. Составляю правило:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.200

Подскажите, правильно ли я делаю? И надо ли что еще? Чтобы все работало.

★★

Сделал так:

iptables -A FORWARD -i eth0 -d 195.206.62.70 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 195.206.62.70 --dport 3389 -j DNAT --to-destination 192.168.1.200:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.200 --dport 3389 -j SNAT --to-source 195.206.62.70


vitroot ★★
() автор топика

Проще

ssh <gateway_ip> -L 20000:192.168.1.200:3389 -N -f

Если Вы на винде, вместо ssh можно использовать putty -- она понимает все ключи кроме -f

-N значит "Ничего не запускать", -f -- работать в бэкграунде (чтобы терминал не занимало).

Такой вариант безопаснее, проще в исполнении, дуракоустойчивее и не требует полномочий администратора.

lodin ★★★★
()
Ответ на: Проще от lodin

а причем здесь putty?
Необходимость была реализовать возможность, чтобы наш, к примеру, главбух могла из своего дома (само собой у ней там винда) через "удаленный рабочимй стол" залезть на другой виндовый компьютер, который находится за файрволлом в локальной сети офиса на другой стороне города.

Или имеется ввиду доп. безопасность посредством ssh?

vitroot ★★
() автор топика
Ответ на: Проще от lodin

Что-то не очень понимаю я параметр -L в ssh... можно немного подробней?

vitroot ★★
() автор топика
Ответ на: комментарий от vitroot

Первый ваш пост был осмысленен, а второй содержит бредовые правлила. Достаточно:

iptables -t nat -A PREROUTING -p tcp -s 195.206.62.70 --dport 3389 -j DNAT --to-destination 192.168.1.200

iptables -A FORWARD -s 195.206.62.70 -d 192.168.1.200 -j ACCEPT
iptables -A FORWARD -d 195.206.62.70 -s 192.168.1.200 -j ACCEPT

На машине 192.168.1.200 нужно прописать маршрут к 195.206.62.70 (или default маршрут) через ваш шлюз. И там ещё у винды бывает firewall настроён...

P.S. Не боитесь светить на ЛОРе домашний ip-адрес бухгалтерши, она же и вам зарплату считает?

P.P.S. A ssh на сервере позволит вам сделать настраиваемое подключение, то есть обычный пользователь без рутовых прав сможет настраивать на какой локальный комп ему надо будет зайти.

mky ★★★★★
()
Ответ на: комментарий от mky

>>P.S. Не боитесь светить на ЛОРе домашний ip-адрес бухгалтерши, она же и вам зарплату считает?

Ее домашний адрес я не светил и не буду. Тем более, что он у ней динамический и я о нем понятия не имею.

vitroot ★★
() автор топика
Ответ на: комментарий от mky

А адреса, которые я выставляю на ЛОРе, на всякий пожарный, всегда не совпадают с "моими" реальными :)

vitroot ★★
() автор топика
Ответ на: комментарий от vitroot

А, я-то думал надо достучаться один раз до конкретного компа...

При такой формулировке Ваше решение, пожалуй, проще.

Но идеологически правильнее всё равно использовать ssh: например, Ваш сервер могут просканировать на предмет открытого порта 3389 и потом на него ломиться. Всяких уродов в интернете много.

putty -- это клиент протокола ssh под windows, вдобавок совместимый по опциям командной строки с традиционный клиентом ssh, только и всего.

lodin ★★★★
()
Ответ на: комментарий от lodin

>>putty -- это клиент протокола ssh под windows, вдобавок совместимый по опциям командной строки с традиционный клиентом ssh, только и всего.

Я им лет 10 уже пользуюсь :)

vitroot ★★
() автор топика

Глупый вопрос, а на шлюзе форвардиг включен?

sysctl -w sys.net.ipv4.ip_forward=1

sky_
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.