Всем доброго времени суток.
Нужно перенаправить порт на терминальный сервер. Все работает в поряде, кроме самого проброса. Подскажите что пропустил то я?
Привожу полный код:#!/bin/bash
# Включаем IP форвардинг
echo "1" > /proc/sys/net/ipv4/ip_forward# Защита от Syn flood атаки
echo "1" > /proc/sys/net/ipv4/tcp_syncookiesIPTABLES="/sbin/iptables"
LO_INTERFACE="lo"
WAN_INTERFACE="eth4"
LAN_INTERFACE="eth3"
WAN_IP="10.1.1.3"
WAN_BROADCAST="10.1.1.255"
LAN_IP="10.245.8.3"
LAN_NET="10.245.8.0/24"
LAN_RDP_SERVER="10.245.8.2"# чистим все правила
$IPTABLES -t filter -F
$IPTABLES -t filter -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp# безлимитный трафик для lo интерфейса
$IPTABLES -t filter -A INPUT -i $LO_INTERFACE -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $LO_INTERFACE -j ACCEPT# Задаем политики по умолчанию
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT ACCEPT# Создаем пользовательские цепочки.
$IPTABLES -N LAN_INTERFACE-WAN_INTERFACE
$IPTABLES -N WAN_INTERFACE-LAN_INTERFACE
$IPTABLES -N WAN_INTERFACE-in
$IPTABLES -N LAN_INTERFACE-in$IPTABLES -A INPUT -i $WAN_INTERFACE -d 224.0.0.0/8 -j DROP
$IPTABLES -A INPUT -p UDP -i $WAN_INTERFACE -d $WAN_BROADCAST \
--destination-port 135:139 -j DROP# Направляем все входящие пакеты в соответствующие цепочки.
$IPTABLES -A INPUT -d $LAN_IP -j LAN_INTERFACE-in
$IPTABLES -A INPUT -d $WAN_IP -j WAN_INTERFACE-in# Направляем все транзитные пакеты в соответствующие цепочки.
$IPTABLES -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE \
-j LAN_INTERFACE-WAN_INTERFACE
$IPTABLES -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE \
-j WAN_INTERFACE-LAN_INTERFACE# В данную цепочку попадают все транзитные пакеты,
# направленные из локальной сети в мир.$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
# Пропуск пингов в мир
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p ICMP --icmp-type 11 -j ACCEPT$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -j LOG \
--log-prefix "LAN_INTERFACE-WAN_INTERFACE " --log-level 7
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -j DROP# В данную цепочку попадают все транзитные пакеты,
# направленные из мира в локальную сеть.
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -j LOG \
--log-prefix "WAN_INTERFACE-LAN_INTERFACE " --log-level 7
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -j DROP# LAN_INTERFACE-in. В данной цепочке открываем порты тех служб, которые
# должны быть доступны из локальной сети.$IPTABLES -A LAN_INTERFACE-in -i lo -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 20 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 21 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 22 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 25 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p udp --dport 53 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 80 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 110 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -j LOG --log-prefix "LAN_INTERFACE-in " --log-level 7
$IPTABLES -A LAN_INTERFACE-in -j DROP# В данной цепочке открываем порты тех служб, которые
# должны быть доступны из мира.$IPTABLES -A WAN_INTERFACE-in -p tcp --dport 25 -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -p tcp --dport 80 -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -j LOG --log-prefix "WAN_INTERFACE-in " --log-level 7
#$IPTABLES -A WAN_INTERFACE-in -j DROP# Производим сетевую трансляцию адресов (NAT)
# В случае использования сервера терминалов
$IPTABLES -t nat -A PREROUTING -p tcp -i $WAN_INTERFACE -d $WAN_IP \
--dport 3389 -j DNAT --to-destination $LAN_RDP_SERVER:3389
$IPTABLES -A POSTROUTING -t nat -s $LAN_NET -o $WAN_INTERFACE -j SNAT \
--to-source $WAN_IP
>Всем доброго времени суток.
>Нужно перенаправить порт на терминальный сервер. Все работает в поряде, кроме самого
>проброса. Подскажите что пропустил то я?посмотреть логи и увидеть что пакетики то блокируются
>[оверквотинг удален]
>#$IPTABLES -A WAN_INTERFACE-in -j DROP
>
># Производим сетевую трансляцию адресов (NAT)
># В случае использования сервера терминалов
>$IPTABLES -t nat -A PREROUTING -p tcp -i $WAN_INTERFACE -d $WAN_IP \
>
>--dport 3389 -j DNAT --to-destination $LAN_RDP_SERVER:3389
>$IPTABLES -A POSTROUTING -t nat -s $LAN_NET -o $WAN_INTERFACE -j SNAT \
>
>--to-source $WAN_IP
очевидно нужна 3 строчкаiptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j DNAT --to-destination $LAN_RDP_SERVER:3389
ну как то так
>очевидно нужна 3 строчка
>
>iptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j
>DNAT --to-destination $LAN_RDP_SERVER:3389
>
>ну как то такой с портом снаружи я явно промахнулся :) ну какой вам там нужен пишите
>>очевидно нужна 3 строчка
>>
>>iptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j
>>DNAT --to-destination $LAN_RDP_SERVER:3389
>>
>>ну как то так
>
>ой с портом снаружи я явно промахнулся :) ну какой вам там
>нужен пишитечто и с какими пакетами это правило будет делать по вашему?