URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4613
[ Назад ]

Исходное сообщение
"Перенаправление на терминальный сервер "

Отправлено kossak , 15-Июн-10 22:28 
Всем доброго времени суток.
Нужно перенаправить порт на терминальный сервер. Все работает в поряде, кроме самого проброса. Подскажите что пропустил то я?
Привожу полный код:

#!/bin/bash

# Включаем IP форвардинг
echo "1" > /proc/sys/net/ipv4/ip_forward

# Защита от Syn flood атаки
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

IPTABLES="/sbin/iptables"
LO_INTERFACE="lo"
WAN_INTERFACE="eth4"
LAN_INTERFACE="eth3"
WAN_IP="10.1.1.3"
WAN_BROADCAST="10.1.1.255"
LAN_IP="10.245.8.3"
LAN_NET="10.245.8.0/24"
LAN_RDP_SERVER="10.245.8.2"

# чистим все правила
$IPTABLES -t filter -F
$IPTABLES -t filter -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# безлимитный трафик для lo интерфейса
$IPTABLES -t filter -A INPUT -i $LO_INTERFACE -j ACCEPT
$IPTABLES -t filter -A OUTPUT -o $LO_INTERFACE -j ACCEPT

# Задаем политики по умолчанию

$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT ACCEPT

# Создаем пользовательские цепочки.

$IPTABLES -N LAN_INTERFACE-WAN_INTERFACE
$IPTABLES -N WAN_INTERFACE-LAN_INTERFACE
$IPTABLES -N WAN_INTERFACE-in
$IPTABLES -N LAN_INTERFACE-in

$IPTABLES -A INPUT -i $WAN_INTERFACE -d 224.0.0.0/8 -j DROP
$IPTABLES -A INPUT -p UDP -i $WAN_INTERFACE -d $WAN_BROADCAST \
--destination-port 135:139 -j DROP

# Направляем все входящие пакеты в соответствующие цепочки.

$IPTABLES -A INPUT -d $LAN_IP -j LAN_INTERFACE-in
$IPTABLES -A INPUT -d $WAN_IP -j WAN_INTERFACE-in

# Направляем все транзитные пакеты в соответствующие цепочки.

$IPTABLES -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE \
-j LAN_INTERFACE-WAN_INTERFACE
$IPTABLES -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE \
-j WAN_INTERFACE-LAN_INTERFACE

# В данную цепочку попадают все транзитные пакеты,
# направленные из локальной сети в мир.

$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
# Пропуск пингов в мир
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p ICMP --icmp-type 8 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -p ICMP --icmp-type 11 -j ACCEPT

$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -j LOG \
--log-prefix "LAN_INTERFACE-WAN_INTERFACE " --log-level 7
$IPTABLES -A LAN_INTERFACE-WAN_INTERFACE -j DROP

# В данную цепочку попадают все транзитные пакеты,
# направленные из мира в локальную сеть.
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -j LOG \
--log-prefix "WAN_INTERFACE-LAN_INTERFACE " --log-level 7
$IPTABLES -A WAN_INTERFACE-LAN_INTERFACE -j DROP

# LAN_INTERFACE-in. В данной цепочке открываем порты тех служб, которые
# должны быть доступны из локальной сети.

$IPTABLES -A LAN_INTERFACE-in -i lo -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 20 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 21 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 22 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 25 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p udp --dport 53 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 80 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -p tcp --dport 110 -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A LAN_INTERFACE-in -j LOG --log-prefix "LAN_INTERFACE-in " --log-level 7
$IPTABLES -A LAN_INTERFACE-in -j DROP

# В данной цепочке открываем порты тех служб, которые
# должны быть доступны из мира.

$IPTABLES -A WAN_INTERFACE-in -p tcp --dport 25 -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -p tcp --dport 80 -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A WAN_INTERFACE-in -j LOG --log-prefix "WAN_INTERFACE-in " --log-level 7
#$IPTABLES -A WAN_INTERFACE-in -j DROP

# Производим сетевую трансляцию адресов (NAT)
# В случае использования сервера терминалов
$IPTABLES -t nat -A PREROUTING -p tcp -i $WAN_INTERFACE -d $WAN_IP \
--dport 3389 -j DNAT --to-destination $LAN_RDP_SERVER:3389
$IPTABLES -A POSTROUTING -t nat -s $LAN_NET -o $WAN_INTERFACE -j SNAT \
--to-source $WAN_IP


Содержание

Сообщения в этом обсуждении
"Перенаправление на терминальный сервер "
Отправлено reader , 16-Июн-10 12:07 
>Всем доброго времени суток.
>Нужно перенаправить порт на терминальный сервер. Все работает в поряде, кроме самого
>проброса. Подскажите что пропустил то я?

посмотреть логи и увидеть что пакетики то блокируются

>[оверквотинг удален]
>#$IPTABLES -A WAN_INTERFACE-in -j DROP
>
># Производим сетевую трансляцию адресов (NAT)
># В случае использования сервера терминалов
>$IPTABLES -t nat -A PREROUTING -p tcp -i $WAN_INTERFACE -d $WAN_IP \
>
>--dport 3389 -j DNAT --to-destination $LAN_RDP_SERVER:3389
>$IPTABLES -A POSTROUTING -t nat -s $LAN_NET -o $WAN_INTERFACE -j SNAT \
>
>--to-source $WAN_IP


"Перенаправление на терминальный сервер "
Отправлено Rainmib , 16-Июн-10 12:12 
очевидно нужна 3 строчка

iptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j DNAT --to-destination $LAN_RDP_SERVER:3389

ну как то так


"Перенаправление на терминальный сервер "
Отправлено Rainmib , 16-Июн-10 12:14 
>очевидно нужна 3 строчка
>
>iptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j
>DNAT --to-destination $LAN_RDP_SERVER:3389
>
>ну как то так

ой с портом снаружи я явно промахнулся :) ну какой вам там нужен пишите


"Перенаправление на терминальный сервер "
Отправлено reader , 16-Июн-10 12:43 
>>очевидно нужна 3 строчка
>>
>>iptables -t nat -A OUTPUT --dst $WAN_INTERFACE -p tcp --dport 33999 -j
>>DNAT --to-destination $LAN_RDP_SERVER:3389
>>
>>ну как то так
>
>ой с портом снаружи я явно промахнулся :) ну какой вам там
>нужен пишите

что и с какими пакетами это правило будет делать по вашему?