Не могу настроить проброс портов

0

1

здравствуйте, ситуация такая: шлюз на debian squeeze, сразу после установки(т.е. не «засран» левыми конфигами), пытаюсь настроить проброс порта (конкретно - RDP для винды) на локальный комп, прочитал тысячу манов, тысячу статей в инете, никак не получается.

факт №1: пробовал ради теста пробросить порт с локалки на локалку(один сетевой интерфейс) - получается. как только начинаю «доделывать» для работы из внешнего мира(добавляю второй интерфейс) - всё загибается.

факт №2: в локалке также есть ещё один шлюз(+dhcp), может быть из за его настроек что то не получается?

факт №3: по совету проверят телнетом+nc порты, все норм. правда тем же телнетом к порту, который пытаюсь пробросить, подключиться не удается (connection refused).

настройки iptables и прочих сопутствующих вещей уже на 45736 раз менялись в поисках тех самых, на данный момент дело обстоит так:

### eth0 - интернет
### eth1 - локалка

*filter
:INPUT ACCEPT [25:2074]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:389]
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -p udp -m udp --dport 500 -j ACCEPT 
-A INPUT -p esp -j ACCEPT 
-A INPUT -p ah -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 

##### 33400 - порт по которому стучусь из внешки
-A INPUT -p tcp -m tcp --dport 33400 -j ACCEPT 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 

##### 111 - адрес локальной банки на которую надо попасть
-A FORWARD -d 192.168.255.111/32 -i eth0 -p tcp -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT

*nat
:PREROUTING ACCEPT [28:1588]
:POSTROUTING ACCEPT [2:389]
:OUTPUT ACCEPT [2:389]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 33400 -j DNAT --to-destination 192.168.255.111:3389 
COMMIT

*mangle
:PREROUTING ACCEPT [212:22088]
:INPUT ACCEPT [209:21944]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [182:79648]
:POSTROUTING ACCEPT [182:79648]
COMMIT

как видите от безисходности выставил все политики на ACCEPT, но увы... также пробовал играться с построутингом (как в некоторых статьях из инета) - все равно мимо.

очень надеюсь на вашу помощь, неделю бьюсь, сил уже не осталось

Ссылка

Я не профи, но думаю маршруты ещё нужны

Procik
(30.08.11 14:41:15 MSK)

помимо DNAT надо ещё делать SNAT

DNAT не меняет source address и хост за натом, чей порт ты пытаешься прокинуть ответчает на этот source адрес и вполне возможно через другой шлюз

используй tcpdump, Люк

anonymous
(30.08.11 15:30:54 MSK)

для начала проверь tcpdump'ом, что уходит на 192.168.255.111

gadfly ★★
(30.08.11 20:31:58 MSK)

Добавь волшебное правило


iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

anton_jugatsu ★★★★
(30.08.11 23:51:48 MSK)

Не могу настроить проброс портов

Похожие темы