LINUX.ORG.RU
решено ФорумAdmin

помогите разобраться с DNAT


0

2

хочу пробросить с внешки rdp но не работает, по локалке подключается, подскажите что не так.

iptables

-A PREROUTING -p tcp -d XX.XX.XX.XX --dport 3389 -j DNAT --to-destination 10.0.0.6

-A FORWARD -p tcp --dport 3389 -j ACCEPT

# tcpdump tcp and port 3389 -vvn tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 17:37:28.281111 IP (tos 0x0, ttl 112, id 648, offset 0, flags [DF], proto: TCP (6), length: 52) 85.26.183.38.39935 > 10.0.0.6.ms-wbt-server: S, cksum 0x315d (correct), 3243482438:3243482438(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>


Пусть RDP будет на 192.168.192.192, WAN-интерфейс=eth0:

-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.192.192:3389
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.192.192/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

v0mqfish ★★★ ()
Ответ на: комментарий от v0mqfish

в Вашем примере INPUT если и нужен, то не на шлюзе, а на 192.168.192.192

anonymous ()

в форвард разрешены пакеты в сторону РДП, а от РДП они не пройдут. Поэтому либо явно разрешать, либо что то вроде :

-A FORWARD -m state --state ESTABLISHED -j ACCEPT

AnyKey ()
Ответ на: комментарий от AnyKey

эта цепочка имеется, дело в том что все работало и при моей конфигурации, но после манипуляций с pptpd подгрузкой модулей ip_net_pptp, ip_gre, и последующим удалением pptpd, DNAT перестал пропускать пакеты. в iptables добавлялось и удалялось только 2 строки.

-A INPUT -p tcp --dport 1723 j ACCEPT -A INPUT -p 47 j ACCEPT

по этому порту только такой дамп

# tcpdump tcp and port 3389 -nnvvS

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

07:58:05.316800 IP (tos 0x0, ttl 112, id 446, offset 0, flags [DF], proto: TCP (6), length: 52) 85.26.184.130.43707 > 10.0.0.6.3389: S, cksum 0xbb2b (correct), 3202680270:3202680270(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>

yanev ()
Ответ на: комментарий от yanev

По крайней мере поступившие извне SYN пакеты натятся, и если я правильно понял выкидываются через eth0 на 10.0.0.6 , а вот ответов нету.

Может конечно глупые вопросы,но все же. А что делается на 10.0.0.6? до него пакеты от 85.26.184.130 доходят, фильтруются? Ответы в сетку отдаются? Маршрут на этой машине куда смотрит?

AnyKey ()
Ответ на: комментарий от AnyKey

вообщем по какой то причине DNAT не работает, сделал по другому

создал в /etc/xinet.d/redir3389

service redir3389

{

disable = no

type = UNLISTED

socket_type = stream

wait = no

user = nobody

group = nobody

protocol = tcp

port = 3389

redirect = 10.0.0.6 3389

per_source = UNLIMITED

instances = UNLIMITED

cps = 10000 1

}

в iptables убрал цепочки с DNAT и FORWARD по порту 3389 и добавил

-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT

и все заработало! FORWARD в других цепочках работает.

Вопрос: что могло случится с DNAT?

yanev ()
6 августа 2014 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.