Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » ubuntu iptables

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

viptan

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сразу скажу, что в линуксе я новичок.
На базе убунты сервер делаю шлюз...
сделал проброс 80 порта, поднял дхсп....все работает...
Но самое необходимое это пробросить 3389 порт до сервера на котором настроен удаленный рабочий стол...
я понимаю, что тема не нова, с этим вопросом тот же яндекс выдает кучу ссылок, но у меня не получается...... испробовал кучу строк, по которым у кого-то типа работало, ничего не получается...
пробовал, через WEBMIN, тоже не получается...
 
IP сервера на котором работает РДП - 192.168.0.2
вот примеры строчек с разных сайтов:
1.
iptables -t nat -A PREROUTING -p TCP -i eth0 -d xxx.xxx.xx.xxx --dport 3389 -j DNAT --to-destination 192.168.0.2
2.
iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 3389 -j DNAT --to-destination 192.168.0.2:3389  
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 3389 -j SNAT --to-source ххх.ххх.ххх.ххх
 
Объясните, что я не так делаю???
 

Всего записей: 11 | Зарегистр. 10-01-2007 | Отправлено: 09:31 15-05-2009
AlexisQ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вторая строчка правильная, но нужно добавить такое
 
iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT
 
чтобы разрешить прием локального IP на внешний интерфейс (иначе считаеться за спуффинг)
(совет - не свети стандарные порты на внешнем интерфейсе, нехорошо)
 
вот так красивее и безопаснее:
 
iptables -A FORWARD -i eth0 -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT
 
iptables -t nat -A PREROUTING -p tcp -d ххх.ххх.ххх.ххх --dport 41678 -j DNAT --to-destination 192.168.0.2:3389
 
смысл такой:
 
ххх.ххх.ххх.ххх:41678 --> 192.168.0.2:3389
 

Всего записей: 23 | Зарегистр. 30-10-2003 | Отправлено: 12:46 15-05-2009
viptan

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
с другим портом...это правильно...
я просто хотел сам принцип понять...
буду пробовать...
спасибо ОГРОМНОЕ
 
Добавлено:
я так понимаю правила должны сохраняться в /etc/iptables.up.rules
только при вводе этих команд ничего не меняется... НЕ РАБОТАЕТ порт и изменений в конфиге тоже не видно

Всего записей: 11 | Зарегистр. 10-01-2007 | Отправлено: 13:05 15-05-2009
AlexisQ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это описание ПРАВИЛ, подгружать можно по разному.
И ещё забыл вот это - для проброса портов нужно включить forwarding.
Убунту не помнит что она роутер:
в этом файле /etc/sysctl.conf
net.ipv4.ip_forward=1
 
или куда нибудь до загрузки iptables
echo "1" > /proc/sys/net/ipv4/ip_forward
 

Всего записей: 23 | Зарегистр. 30-10-2003 | Отправлено: 14:55 15-05-2009
viptan

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в первом случае строчку разкоментировал
во вотором в конфиге всего одна цифра 1

Всего записей: 11 | Зарегистр. 10-01-2007 | Отправлено: 15:16 15-05-2009
Demetrio

uid=0
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
я так понимаю правила должны сохраняться в /etc/iptables.up.rules

А почему они собственно должны туда сохраняться?
В Ubuntu вообще этого не предусмотрено.
 
Это в redhat-based есть /etc/sysconfig/iptables
А тут можешь например руками писать куда-нибудь в /etc/rc.fw и выполнять это при загрузке через rc.local
 

Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 11:00 16-05-2009 | Исправлено: Demetrio, 11:01 16-05-2009
AlexisQ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Demetrio
 

Цитата:
А почему они собственно должны туда сохраняться?  

 
Вот это точно подмечено!
 
iptables-save
iptables-restore
 
Довольно фиговый путь, принятый только для "удобства" юзеров
 
По мне вот так:
после загрузки сети (network)
сбросить все настройки iptables
и грузить свои правила  
 
через rc.local
 
viptan
 
возьми эту штуку в сети: http://www.ecst.csuchico.edu/~dranch/LINUX/ipmasq/examples/rc.firewall-iptables-stronger
 
Довольно толково внутри всё расписано.

Всего записей: 23 | Зарегистр. 30-10-2003 | Отправлено: 15:31 16-05-2009
Demetrio

uid=0
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexisQ
save > file
restore < file
для этого они удобны. а кто-то может подумать что оно сохраняет само по себе
 
 
 
Добавлено:
https://help.ubuntu.com/community/IptablesHowTo
тут с учетом специфики.

Всего записей: 9967 | Зарегистр. 29-05-2002 | Отправлено: 19:57 16-05-2009
AlexisQ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Demetrio
 
Чуть офф-топа:
Ну дык согласен. Я убунту дома пользую, на работе Cent.
Там много подсетей, и меняются часто. Поэтому - скрипт на sh мя спасает и при презагрузке (бывает, что скрывать  
 
Для Viptan
 
есть на русском iptables-tutorial 1.1.9 в сети. Тоже очень неплох, хотя и стар
http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html

Всего записей: 23 | Зарегистр. 30-10-2003 | Отправлено: 16:12 17-05-2009
Danko_Lazovich

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
очень похожая проблема: нужен удаленный доступ по RDP
 
внешний eth3 X.X.X.X  
внутрений eth4 192.168.0.1
требуется удаленный доступ на машину 192.168.0.11
форвардинг включен
создаю правила:  
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 3389 -j DNAT --to-destination 192.168.0.11:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.11 --dport 3389 -j SNAT --to-source X.X.X.X
 
суть проблемы:
из LAN, со своей машины, в проге "Подключение к удаленному рабочему столу" могу заходить по обоим адресам:
и по 192.168.0.11
и по X.X.X.X
он открывает рабочий стол необходимой машины, а вот из дома по Х.Х.Х.Х он заходить на неё не хочет
ПОЧЕМУ ТАК????

Всего записей: 1 | Зарегистр. 16-06-2010 | Отправлено: 21:42 16-06-2010
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Danko_Lazovich
Ну для начала я бы убил это правило:

Цитата:
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.11 --dport 3389 -j SNAT --to-source X.X.X.X  

ибо какую смысловую нагрузку оно несёт, мне не ясно.
Для трансляции адресов в вашем случае подошло бы что-то подобное:
iptables -t nat -A POSTROUTING -o eth3 -j SNAT --to-source X.X.X.X
 
Если это не поможет, то кидайте сюда, используя тег more, вывод команд iptables -nvL и iptables -nvL -t nat

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 22:59 16-06-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Danko_Lazovich
да с работы какой-нить косяк с топлогией сети и кароче вас напрямую адресует...
во первых когда пишете DNAT пишите с какого интерфейса вы хотите это делать... вам стоит писать -i eth3
далее вы не прописали правила для фильтра FORWARD или у вас он по умолчанию ACCEPT???

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:03 16-06-2010
Koolyan



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables -t nat -A PREROUTING --d x.x.x.x  -i  ethx -p tcp -m tcp - -dport 3389 -j DNAT - -to-destination 192.168.0.1:3389
у нас так  работает

Всего записей: 264 | Зарегистр. 04-08-2006 | Отправлено: 19:13 24-09-2010 | Исправлено: Koolyan, 19:14 24-09-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Koolyan
вы решили посты понабивать или зачем был ваш ответ? 3 месяца прошло однако...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 20:04 24-09-2010
AlexisQ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Demetrio
Прибить бы эту старую тему
Koolyan
-m tcp --dport 3389 - по мне это лишнее. 3389->3389!?
(Ну -m я использую, но к примеру на локальный хост надо пробросить и tcp и udp,
торрентовку или игрища какие. Хотя резать так резать

Всего записей: 23 | Зарегистр. 30-10-2003 | Отправлено: 15:50 26-09-2010
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » UNIX » ubuntu iptables


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru