Банальный проброс портов

iptables

0

2

Доброе время суток

Подскажите пожалуйста

1. Как извне подключиться по RDP к кампу 192.168.1.254

Схема сети

АДСЛ модем имеет внешний адрес 10.10.10.10

Проброс портов настроен как показано на рисунке

Шлюз на убунте (eth3 = 192.168.1.250 eth2 = 192.168.2.250)

Подключение к 192.168.2.240 работает, но это временно

Схема

[img]http://rghost.ru/37883252/image.png[/img]

конфа

#eth3 = 192.168.1.250 eth2 = 192.168.2.250

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001

iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -P FORWARD DROP

2. Как комп 192,168,1,100 напрямую выпустить в нэт без фильтрации? На нем стоят вредные ведомственные проги, при установке соединения они виснут на проверке имени пользочателя, так как тяму у меня не хватает приходится делать iptables -P FORWARD ACCEPT что не есть гут.

Комп 192,168,1,100 обычный воркстейшн, на схеме был бы рядом с 192,168,1,254, в той же подсети 192,168,1,0/24

Заранее спасибо!

Ссылка

←	Изоляция/фильтрация трафика всей сети. С одинаковым Default GW для всех клиентов.

Squid - непонятки с delay pools

→

-j SNAT --to-source 10.10.10.10

Зачем эти SNAT'ы ?

Основная проблема: неправильные NAT'ы + маршрутизация

З.Ы. пиши на нормальном языке (русском или английском), а этот «кул-школота стайл» оставь для понтов перед пацанами.

~~sdio~~ ★★★★★
(03.05.12 11:02:08 MSK)

Парень, не хотелось бы тебя разочаровывать, но 10.10.10.10 это не интернетовский адрес. Ты подключен к домашней сети своего провайдера и только он решает, кто сможет до тебя достучаться и по каким портам. С ним и разговаривай.

~~delete83~~ ★★
(03.05.12 11:03:04 MSK)

Ответ на: комментарий от sdio 03.05.12 11:02:08 MSK

Прошу прощения, постараюсь писать соответсвенно. Я понимаю что маршрутизация неправильная, но мозгов не хватает на правильную. Я думаю что POSTROUTING .. SNAT .. нужен чтобы пакет от 1,254 переадресовать модему, так ведь?

Rimsky
(03.05.12 11:51:01 MSK) автор топика

Ссылка

Ответ на: комментарий от delete83 03.05.12 11:03:04 MSK

Я знаю что 10,0,0,0/8 это приватный адрес и в интернете он не маршрутизируется, но ведь не писать же мне реальный внешний IP адрес, Я не зря написал что к внутреннему компьютеру 2,240 я подключаюсь извне, а к 1,254 - нет. Проблема именно в iptables, а точнее в мне

Rimsky
(03.05.12 11:52:52 MSK) автор топика

Тред не читал. Топик не читал.
Проброс портов = DNAT

Galant
(03.05.12 12:20:41 MSK)

Ссылка

Закажи у провайдера реальный IP и будет тебе щасте

anonymous
(03.05.12 13:38:05 MSK)

Ссылка

Ответ на: комментарий от Rimsky 03.05.12 11:52:52 MSK

Хорошо, я тебя понял. Получается, у тебя два шлюза и тебе надо через оба пробрасывать порты. Сначала через модем, потом через убунту.

Зачем вот эти правила на убунте:

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

Убунта ничего не знает про 10.10.10.10 Может ты тут имел в виду что-то иное? Я что-то не могу понять, что эти правила должны были делать по твоей логике.

~~delete83~~ ★★
(03.05.12 13:42:38 MSK)

Ответ на: комментарий от delete83 03.05.12 13:42:38 MSK

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001

Совершенно не понятно, что это должно делать, но делает оно совершенно определенную вещь: херит пакеты. После такого фильтра твой сервер будет думать, что общается не с внешним миром, а со своим модемом. Ты этого хочешь добиться?

~~delete83~~ ★★
(03.05.12 13:50:31 MSK)

Ответ на: комментарий от delete83 03.05.12 13:50:31 MSK

iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

У тебя на убунте стоит веб-сервер или все же на 192.168.1.254?

~~delete83~~ ★★
(03.05.12 13:52:47 MSK)

Ссылка

По поводу второго вопроса. Без NAT ты в любом случае не выпустишь в инет комп с ip-адресом 192.168.1.100. А если тебе просто все фильтры отключить и гонять любой трафик с этой машины и обратно, то держи:

iptables -A FORWARD -s 192.168.1.100 -j ACCEPT

Должно помочь.

~~delete83~~ ★★
(03.05.12 13:58:01 MSK)

Ответ на: комментарий от delete83 03.05.12 13:58:01 MSK

Остальное у тебя уже разрешено для этой машины.

~~delete83~~ ★★
(03.05.12 13:58:41 MSK)

Ссылка

Ответ на: комментарий от delete83 03.05.12 13:42:38 MSK

Если я правильно понял, это надо переписать вот в таком виде:

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.250 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.250 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.250 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

om-nom-nimouse ★★
(03.05.12 19:03:48 MSK)

Ссылка

Вообще же лучше в этой схеме после проброса портов настроить модем в режим моста и подключаться к провайдеру напрямую с бубунты по PPPoE, два роутера тут ни к чему совершенно. После этого можно будет фильтровать не eth2, а, к примеру, ppp0.

om-nom-nimouse ★★
(03.05.12 19:10:23 MSK)