» ubuntu iptables

Сразу скажу, что в линуксе я новичок.
На базе убунты сервер делаю шлюз...
сделал проброс 80 порта, поднял дхсп....все работает...
Но самое необходимое это пробросить 3389 порт до сервера на котором настроен удаленный рабочий стол...
я понимаю, что тема не нова, с этим вопросом тот же яндекс выдает кучу ссылок, но у меня не получается...... испробовал кучу строк, по которым у кого-то типа работало, ничего не получается...
пробовал, через WEBMIN, тоже не получается...

IP сервера на котором работает РДП - 192.168.0.2
вот примеры строчек с разных сайтов:
1.
iptables -t nat -A PREROUTING -p TCP -i eth0 -d xxx.xxx.xx.xxx --dport 3389 -j DNAT --to-destination 192.168.0.2
2.
iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source ххх.ххх.ххх.ххх

Объясните, что я не так делаю???

Вторая строчка правильная, но нужно добавить такое

iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT

чтобы разрешить прием локального IP на внешний интерфейс (иначе считаеться за спуффинг)
(совет - не свети стандарные порты на внешнем интерфейсе, нехорошо)

вот так красивее и безопаснее:

iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 41678 -j DNAT --to-destination 192.168.0.2:3389

смысл такой:

ххх.ххх.ххх.ххх:41678 --> 192.168.0.2:3389

с другим портом...это правильно...
я просто хотел сам принцип понять...
буду пробовать...
спасибо ОГРОМНОЕ

Добавлено:
я так понимаю правила должны сохраняться в /etc/iptables.up.rules
только при вводе этих команд ничего не меняется... НЕ РАБОТАЕТ порт и изменений в конфиге тоже не видно

Это описание ПРАВИЛ, подгружать можно по разному.
И ещё забыл вот это - для проброса портов нужно включить forwarding.
Убунту не помнит что она роутер:
в этом файле /etc/sysctl.conf
net.ipv4.ip_forward=1

или куда нибудь до загрузки iptables
echo "1" > /proc/sys/net/ipv4/ip_forward

в первом случае строчку разкоментировал
во вотором в конфиге всего одна цифра 1

Цитата:

я так понимаю правила должны сохраняться в /etc/iptables.up.rules

А почему они собственно должны туда сохраняться?
В Ubuntu вообще этого не предусмотрено.

Это в redhat-based есть /etc/sysconfig/iptables
А тут можешь например руками писать куда-нибудь в /etc/rc.fw и выполнять это при загрузке через rc.local

Demetrio


Цитата:

А почему они собственно должны туда сохраняться?

Вот это точно подмечено!

iptables-save
iptables-restore

Довольно фиговый путь, принятый только для "удобства" юзеров

По мне вот так:
после загрузки сети (network)
сбросить все настройки iptables
и грузить свои правила

через rc.local

viptan

возьми эту штуку в сети: http://www.ecst.csuchico.edu/~dranch/LINUX/ipmasq/examples/rc.firewall-iptables-stronger

Довольно толково внутри всё расписано.

AlexisQ
save > file
restore < file
для этого они удобны. а кто-то может подумать что оно сохраняет само по себе



Добавлено:
https://help.ubuntu.com/community/IptablesHowTo
тут с учетом специфики.

Demetrio

Чуть офф-топа:
Ну дык согласен. Я убунту дома пользую, на работе Cent.
Там много подсетей, и меняются часто. Поэтому - скрипт на sh мя спасает и при презагрузке (бывает, что скрывать

Для Viptan

есть на русском iptables-tutorial 1.1.9 в сети. Тоже очень неплох, хотя и стар
http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html

очень похожая проблема: нужен удаленный доступ по RDP

внешний eth3 X.X.X.X
внутрений eth4 192.168.0.1
требуется удаленный доступ на машину 192.168.0.11
форвардинг включен
создаю правила:
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 3389 -j DNAT --to-destination 192.168.0.11:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.11 --dport 3389 -j SNAT --to-source X.X.X.X

суть проблемы:
из LAN, со своей машины, в проге "Подключение к удаленному рабочему столу" могу заходить по обоим адресам:
и по 192.168.0.11
и по X.X.X.X
он открывает рабочий стол необходимой машины, а вот из дома по Х.Х.Х.Х он заходить на неё не хочет
ПОЧЕМУ ТАК????

Danko_Lazovich
Ну для начала я бы убил это правило:

Цитата:

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.11 --dport 3389 -j SNAT --to-source X.X.X.X

ибо какую смысловую нагрузку оно несёт, мне не ясно.
Для трансляции адресов в вашем случае подошло бы что-то подобное:
iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to-source X.X.X.X

Если это не поможет, то кидайте сюда, используя тег more, вывод команд iptables -nvL и iptables -nvL -t nat

Danko_Lazovich
да с работы какой-нить косяк с топлогией сети и кароче вас напрямую адресует...
во первых когда пишете DNAT пишите с какого интерфейса вы хотите это делать... вам стоит писать -i eth3
далее вы не прописали правила для фильтра FORWARD или у вас он по умолчанию ACCEPT???

iptables -t nat -A PREROUTING --d x.x.x.x -i ethx -p tcp -m tcp - -dport 3389 -j DNAT - -to-destination 192.168.0.1:3389
у нас так работает

Koolyan
вы решили посты понабивать или зачем был ваш ответ? 3 месяца прошло однако...

Demetrio
Прибить бы эту старую тему
Koolyan
-m tcp --dport 3389 - по мне это лишнее. 3389->3389!?
(Ну -m я использую, но к примеру на локальный хост надо пробросить и tcp и udp,
торрентовку или игрища какие. Хотя резать так резать