LINUX.ORG.RU
ФорумAdmin

iptables nat redirect


0

0

Задача - пробросить порт RDP (3389) на комп во внутренней сетке. Прочитал статью : http://www.opennet.ru/base/net/nat_redirect.txt.html

Опишу конфигурацию: Убунту сервер, 7.04, ядро 2.6.20 iptables 1.3.8 NAT работает, ремаппинг портов работает (сделан прозрачный прокси - 80 порт пробрасываю на 3128 порт сквида) eth0 - 192.168.5.59 - внутренний интерфейс 192.168.5.2 - сервак во внутренней сетке на котором поднят Terminal Service (RDP), естественно из внутренней сетки на него по RDP хожу без проблем

Делаю: iptables -t nat -A PREROUTING -p tcp -d 192.168.5.59 --dport 3389 -j DNAT --to-destination 192.168.5.2:3389 iptables -A FORWARD -i eth0 -d 192.168.5.2 -p tcp --dport 3389 -j ACCEPT

Пробую коннектится на 192.168.5.59 RDP клиентом, а в ответ тишина. Куда куриить?

Я пошел дальше, настроил лог событий. Вот что получается:

192.168.5.222 - машина с которой я пытаюсь коннектится IN=eth0 OUT= MAC=00:20:ed:4e:39:c3:00:16:e6:5d:5e:f6:08:00 SRC=192.168.5.222 DST=192.168.5.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55756 DF PROTO=TCP SPT=42054 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0 То есть, первое правило отработало.

IN=eth0 OUT=eth0 SRC=192.168.5.222 DST=192.168.5.2 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=55757 DF PROTO=TCP SPT=42054 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0 IN=eth0 OUT=eth0 SRC=192.168.5.222 DST=192.168.5.2 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=55758 DF PROTO=TCP SPT=42054 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0 И еще куча таких строк - это рдп клиент пробудет коннектится. Второе правило отработало. Порт верный. Дак в чем же дело?


Re: iptables nat redirect

Форвардинг разрешил? Это через sysctl или в /etc/sysctl.conf делается. На RDP-сервере маршрутизатором по умолчанию кто? И еще - в цепочке форвард положено в таких раскладах писать ДВА правила - на "снаружи вовнутрь" - которое ты написал и на "изнутри наружу" - которое ты не написал. Угу?

no-dashi ★★★★★ ()
Ответ на: Re: iptables nat redirect от no-dashi

Re: iptables nat redirect

Так точно, при добавлении второго правила "изнутри наружу" всё заработало как надо. Спасибо :-)

iptables -t nat -A PREROUTING -p tcp -d 172.17.39.201 --dport 3389 -j DNAT --to-destination 192.168.5.2:3389 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.5.2 --dport 3389 -j SNAT --to-source 172.17.39.201

Nuk79 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.