форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение		[ Отслеживать ]

"Iptables проброс портов rdp"	+/–
Сообщение от klimmy (ok) on 06-Апр-12, 14:05
Есть свежеподнятый шлюз на Убунте, задача скрыть от юзверей реальный ip терминала при помощи iptables. Должно выглядеть примерно так: Все пакеты из сети 192.168.1.0 /24 идущие на адрес ххх.ххх.ххх.ххх по порту 3389 перенаправить на ууу.ууу.ууу.ууу порт 3389 В поиске подобного не нашел.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Iptables проброс портов rdp"	+/–
Сообщение от klimmy (ok) on 06-Апр-12, 14:07
помогите решить проблему, спасибо !
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Iptables проброс портов rdp"	+/–
	Сообщение от Andrey Mitrofanov on 06-Апр-12, 14:25
	> помогите решить проблему, спасибо ! # firehol explain : firehol.sh,v 1.273 2008/07/31 00:46:41 ktsaou Exp $ [...cansored...] # FireHOL [:] > dnat to 88.88.88.88 src 192.168.1.0/24 dst 55.55.55.55 # \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/ # Cmd Line : 1 # Command  : dnat to 88.88.88.88 src 192.168.1.0/24 dst 55.55.55.55 # Creating chain 'nat.2' under 'PREROUTING' in table 'nat' /sbin/iptables -t nat -N nat.2 /sbin/iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d 55.55.55.55 -j nat.2 # Taking the NAT action: 'dnat' /sbin/iptables -t nat -A nat.2 -j DNAT --to-destination 88.88.88.88 # > OK < ... # Command  : router Z # Creating chain 'in_Z' under 'FORWARD' in table 'filter' /sbin/iptables -t filter -N in_Z /sbin/iptables -t filter -A FORWARD -j in_Z # Creating chain 'out_Z' under 'FORWARD' in table 'filter' /sbin/iptables -t filter -N out_Z /sbin/iptables -t filter -A FORWARD -j out_Z ... # Command  : client rdp accept src 192.168.1.0/24 dst 55.55.55.55 # Preparing for service 'rdp' of type 'client' under interface 'Z' # Creating chain 'in_Z_rdp_c1' under 'in_Z' in table 'filter' /sbin/iptables -t filter -N in_Z_rdp_c1 /sbin/iptables -t filter -A in_Z -j in_Z_rdp_c1 # Creating chain 'out_Z_rdp_c1' under 'out_Z' in table 'filter' /sbin/iptables -t filter -N out_Z_rdp_c1 /sbin/iptables -t filter -A out_Z -j out_Z_rdp_c1 # Running simple rules for  client 'rdp' /sbin/iptables -t filter -A out_Z_rdp_c1 -p tcp -s 192.168.1.0/24 --sport 1024:65535 -d 55.55.55.55 --dport 3389 -m state --state NEW\,ESTABLISHED -j ACCEPT /sbin/iptables -t filter -A in_Z_rdp_c1 -p tcp -s 55.55.55.55 --sport 3389 -d 192.168.1.0/24 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT ... # FireHOL [router:R] > quit version 5         dnat to 88.88.88.88 src 192.168.1.0/24 dst 55.55.55.55 router Z         # Command  : client rdp accept src 192.168.1.0/24 dst 55.55.55.55         client rdp accept src 192.168.1.0/24 dst 55.55.55.55 # _
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Iptables проброс портов rdp"	+/–
Сообщение от PavelR (ok) on 06-Апр-12, 14:25
> В поиске подобного не нашел. Че, типа думаешь что вканает за отмазку? На каждый чих "одминов" не всегда есть ответ в поиске, но он есть в документации и хотя бы в минимальном понимании происходящего. И это. Попробуй почитать форум недельки две, повникай в проблемы других админов, поищи для них решения, разомни мозГХ. Совсем недавно были темы про проброс, вообще свежак. Без прочтения документации по iptables, по работе сетей -в тему писать вам явно больше не стоит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Iptables проброс портов rdp"	+/–
Сообщение от Alex85 on 06-Апр-12, 14:49
> Есть свежеподнятый шлюз на Убунте, задача скрыть от юзверей реальный ip терминала > при помощи iptables. > Должно выглядеть примерно так: > Все пакеты из сети 192.168.1.0 /24 идущие на адрес ххх.ххх.ххх.ххх по порту > 3389 > перенаправить на ууу.ууу.ууу.ууу порт 3389 > В поиске подобного не нашел. -A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination xxx.xxx.xxx.xxx под себя поправь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Iptables проброс портов rdp"	+/–
	Сообщение от Дядя_Федор on 06-Апр-12, 15:48
	> -A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination xxx.xxx.xxx.xxx > под себя поправь. А POSTROUTING почто забыли? :) Да и -t nat тоже не мешало бы. Вот 2 полные команды: iptables -t nat -A PREROUTING -s 192.168.0.0/16(для примеру) -p tcp --dport 3389 -j DNAT --to-destination. iptables -t nat -A POSTROUTING -s xxx -o eth0 (внешний интерфейс) -j SNAT --to внешний_ИП_сервера Ну и в цепочке FORWARD не мешао бы разрешить прохождение пакетов в обе стороны.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Iptables проброс портов rdp"	+/–
	Сообщение от PavelR (ok) on 06-Апр-12, 18:48
	>> -A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination xxx.xxx.xxx.xxx >> под себя поправь. >  А POSTROUTING почто забыли? :) А это уже не обязательно. Зависит от ситуации. > Ну и в цепочке FORWARD не мешао бы разрешить прохождение пакетов в > обе стороны. А может в одну сторону достаточно + conntrack ?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Iptables проброс портов rdp"	+/–
	Сообщение от Дядя_Федор on 06-Апр-12, 22:46
	> А может в одну сторону достаточно + conntrack ? И ip_forward. :) Ну конечно. Это уже настолько избитая тема....
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема