The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"помогите с iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"помогите с iptables"  +/
Сообщение от Жук on 06-Мрт-18, 00:01 

Добрый день всем!

Помогите чайнику: есть три офиса, соединённых через интернет между собою. В двух офисах на границе стоят микротики, в третьем - линукс соединяет их через eoip. Делал не я - я теперь с этим пытаюсь разобраться. Во всех офисах совсем разная адресация. В офисе за линуксом (192.168.0.254,10.40.10.254) стоит виндовый сервер 2008 (192.168.0.200), на котором стоит, например, "Консультант+". Нужно дать клиентам из других офисов доступ к "консультанту". Мне рекомендовали сделать это через публикацию приложения и прописать правила в iptables. Маскарадинг наружу сделан через POSTROUTING.
Сделал rdp-файл, где указал в качестве сервера терминалов адрес линукса и порт 63389. Пытался на линуксе прописать по разному, как описано в советах, в т.ч. и на опеннете:

iptables -t nat -A POSTROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.254:63389
и
iptables -t nat -A PREROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 63389 -j DNAT --to 192.168.0.254:3389
и
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 63389 -j DNAT --to-destination 192.168.0.200:3389

никак не получается - не могу победить, уже голова не варит. :( Подскажите, где я косячу? Чувствую, что где-то я неправильно понял, но не могу понять. :(

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "помогите с iptables"  +/
Сообщение от universite (ok) on 06-Мрт-18, 14:44 
> Добрый день всем!
> Помогите чайнику:

А зачем вы соглашались на работу, в которой некомпетентны?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "помогите с iptables"  +/
Сообщение от Жук on 06-Мрт-18, 15:58 
>> Добрый день всем!
>> Помогите чайнику:
> А зачем вы соглашались на работу, в которой некомпетентны?

Ну, надо же учиться и расти дальше... Есть товарищ, который давно сидит в bsd и там это делается проще, но здесь у меня линукс и всё иначе. И тут он помочь мне не может. man iptables читаю, но он большой и я ещё далеко до середины.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "помогите с iptables"  +/
Сообщение от Andrey Mitrofanov on 06-Мрт-18, 16:09 
>>> Добрый день всем!
>>> Помогите чайнику:
>> А зачем вы соглашались на работу, в которой некомпетентны?
> Ну, надо же учиться и расти дальше... Есть товарищ, который давно сидит

" Обучаю ипитэблзам. Быстро качественно больно. Розги свои.

Обращаться: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=l... "

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "помогите с iptables"  +/
Сообщение от universite (ok) on 07-Мрт-18, 04:28 
>>> Добрый день всем!
>>> Помогите чайнику:
>> А зачем вы соглашались на работу, в которой некомпетентны?
> Ну, надо же учиться и расти дальше...

Хирург тоже учится, готовы ли вы ему помочь?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "помогите с iptables"  +/
Сообщение от Жук on 07-Мрт-18, 07:05 
>>>> Добрый день всем!
>>>> Помогите чайнику:
>>> А зачем вы соглашались на работу, в которой некомпетентны?
>> Ну, надо же учиться и расти дальше...
> Хирург тоже учится, готовы ли вы ему помочь?

К чему тогда ваше участие в этой нитке (присутствие на форуме вообще)? Жизнь - дерьмо, в конце концов, нас всех ждёт смерть и тлен. Давайте сразу при рождении забронируем место на кладбище и посвятим оставшееся время подготовке к этому значительному событию...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "помогите с iptables"  +/
Сообщение от ALex_hha (ok) on 07-Мрт-18, 01:29 
Набросайте схему офисов с адресацией
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "помогите с iptables"  +/
Сообщение от Жук on 07-Мрт-18, 10:24 
> Набросайте схему офисов с адресацией

1. "центральный офис" - сеть 192.168.0.0/24, интерфейс линукса 192.168.0.254
2. удалённая точка 1 - сеть 192.168.5.0/24, интерфейс линукса 192.168.5.253
3. удалённая точка 2 - сеть 10.40.10.0/24, интерфейс линукса 10.40.10.254
"целевой" сервер приложений - 192.168.0.200 - куда надо попасть.

В принципе, сработало правило iptables -t nat -A PREROUTING -p tcp --dport 63389 -s 10.40.10.0/24 -j DNAT --to 192.168.0.200:3389. Правда, мне кажется оно каким-то "размытым"... Или так оно всегда? Хочу сократить диапазон адресов клиентов.

PS: Кстати, товарищ-bsd-шник, когда показывал пример реализации на ipfw, упомянул про использование таблиц или списков адресов, а в man iptables я пока не нашёл такого. Или в линуксе надо на каждого клиента отдельное правило писать?
PS2: Это уже, конечно, не сюда, но, может, кто сталкивался - подскажет... Не хочет Консультант+ запускаться в режиме опубликованного приложения. :( Другие приложения запускаются, а этот гад молча отваливается. :( Пытался прописать его запуск через батник - батник отрабатывает (cd, dir, pause), а консультант молча исчезает. При запуске из терминальной сессии - работает нормально.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "помогите с iptables"  +/
Сообщение от PavelR (??) on 09-Мрт-18, 06:15 
> PS: Кстати, товарищ-bsd-шник, когда показывал пример реализации на ipfw, упомянул про использование
> таблиц или списков адресов, а в man iptables я пока не
> нашёл такого. Или в линуксе надо на каждого клиента отдельное правило
> писать?

можно/нужно создавать свои цепочки со списками IP.
можно и иногда нужно использовать ipset.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor