Банальный проброс портов
Доброе время суток
Подскажите пожалуйста
1. Как извне подключиться по RDP к кампу 192.168.1.254
Схема сети
АДСЛ модем имеет внешний адрес 10.10.10.10
Проброс портов настроен как показано на рисунке
Шлюз на убунте (eth3 = 192.168.1.250 eth2 = 192.168.2.250)
Подключение к 192.168.2.240 работает, но это временно
Схема
[img]http://rghost.ru/37883252/image.png[/img]
конфа
#eth3 = 192.168.1.250 eth2 = 192.168.2.250
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389 -j ACCEPT
iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001
iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -P FORWARD DROP
2. Как комп 192,168,1,100 напрямую выпустить в нэт без фильтрации? На нем стоят вредные ведомственные проги, при установке соединения они виснут на проверке имени пользочателя, так как тяму у меня не хватает приходится делать iptables -P FORWARD ACCEPT что не есть гут.
Комп 192,168,1,100 обычный воркстейшн, на схеме был бы рядом с 192,168,1,254, в той же подсети 192,168,1,0/24
Заранее спасибо!