Проброс RDP через ALS 5.0 [решено]

[Tovbor]

Бодрого времени суток.

Делаю проброс порта через шлюз с инета на терминальный сервер.
В "Перенаправлении портов" все указал, включил.
Адрес статический, инет через pppoe. Доступа нету почему-то.
Листинг правил

Код: [Выделить]

# Generated by iptables-save v1.4.5 on Thu Nov 26 21:27:38 2009
*mangle
:PREROUTING ACCEPT [1383462:137214510]
:INPUT ACCEPT [74380:13132476]
:FORWARD ACCEPT [41342:12927043]
:OUTPUT ACCEPT [61024:13178575]
:POSTROUTING ACCEPT [102538:26134769]
COMMIT
# Completed on Thu Nov 26 21:27:38 2009
# Generated by iptables-save v1.4.5 on Thu Nov 26 21:27:38 2009
*nat
:PREROUTING ACCEPT [1279310:109502252]
:POSTROUTING ACCEPT [7328:503973]
:OUTPUT ACCEPT [12278:872773]
-A PREROUTING -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
-A POSTROUTING -o ppp1 -j MASQUERADE
-A OUTPUT -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
COMMIT
# Completed on Thu Nov 26 21:27:38 2009
# Generated by iptables-save v1.4.5 on Thu Nov 26 21:27:38 2009
*filter
:INPUT ACCEPT [339:76718]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [161:10738]
-A INPUT -f -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -i ppp1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i ppp1 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i ppp1 -p udp -m udp --dport 995 -j ACCEPT
-A INPUT -i ppp1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i ppp1 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i ppp1 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i ppp1 -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -i ppp1 -p udp -m udp --dport 587 -j ACCEPT
-A INPUT -i ppp1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i ppp1 -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -i ppp1 -p icmp -j ACCEPT
-A INPUT -i ppp1 -j DROP
-A FORWARD -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50
-A FORWARD -d 172.16.18.5/32 -p tcp -m tcp --dport 3389 -j ACCEPT

Что тут не правильно?

[dubrsl]

1. этот листинг совершенно не информативен
Намного понятнее будет если вы покажите вывод 2 команд:
# iptables -L -n -v
# iptables -L -n -v -t nat

2. Указывайте IP на интерфейсах роутера

3. Вот рабочий пример:
Например роутер имеет 2 интерфейса.
Внешний eth0 c IP 213.214.123.132
и внутренний eth1 с IP 192.168.1.1

внутренний адрес компьютера на который должен пробрасываться порт 192.168.1.15

Тогда вам нужно такие правила:
Правило где делается сам DNAT
# iptables -t nat -A PREROUTING -d 213.214.123.132 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.15

Теперь разрешаем новые соединения на порт 3389
#iptables -A FORWARD -d 191.168.1.15 -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
hint: сравните -d тут и у вас

И если нет глобального ната, то правило для ната
#iptables -t nat -A POSTROUTING -s 191.168.1.15 -o eth0 -p tcp -m tcp --dport 3389 -j SNAT --to-source 213.214.123.132

[marsden]

только для безопасности я бы рекомендовал --dport поменять на чего-нибудь другое, например 52365, тогда цепляться к серваку нужно будет с указанием порта

rdesktop IP:port

виндовый клиент тоже такую нотацию понимает нормально

[Tovbor]

Доброго времени суток!

Возвращаюсь к теме после некоторого отсутствия, победа с пробросом RDP не была за нами…
Попробую описать как можно более полнее. Имеется две системы - рабочая и подопытная: рабочая - ALT Linux 5.0.1 Ark Server  (обновлен), подопытная - ALT Linux 1.0.0 Server Light r1 (обновлен из бранча 5.1).
Сетевая подсистема на рабочем сервере breht0 (172.16.18.1/24) локальная сеть, breht1 (192.168.130.75/29) сеть провайдера, на ней поднято через pppoe внешнее соединение ppp1 (83.234.224.36 - статический) в сети имеется терминальный сервер, куда и надо пробросить порт RDP. На подопытной системе разница только в наименованиях интерфейсах и адресах.
Файрвол настраиваю через etcnet, правила на проброс такие:

Filter/Forward:

Код: [Выделить]

-p tcp --destination 172.16.18.5 --dport 3389 -j ACCEPT
Nat/OUTPUT:

Код: [Выделить]

-p tcp --destination 83.234.224.36 --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
-p tcp --destination 192.168.130.75 --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
-p tcp --destination 192.168.130.75 --dport 4899 -j DNAT --to-destination 172.16.18.5:4899
Nat/PREROUTING:

Код: [Выделить]

-d 83.234.224.36 -p tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
-p tcp --destination 192.168.130.75 --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
-p tcp --destination 192.168.130.75 --dport 4899 -j DNAT --to-destination 172.16.18.5:4899
Nat/POSTROUTING:

Код: [Выделить]

-s 172.16.18.5 -p tcp -m tcp --dport 3389 -j SNAT --to-source 172.16.18.1
-s 172.16.18.5 -p tcp -m tcp --dport 4899 -j SNAT --to-source 172.16.18.1
Вывод команды: iptables -L -n -v -t nat

Код: [Выделить]

Chain PREROUTING (policy ACCEPT 284K packets, 25M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            83.234.224.36       tcp dpt:3389 to:172.16.18.5:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.130.75      tcp dpt:3389 to:172.16.18.5:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.130.75      tcp dpt:4899 to:172.16.18.5:4899

Chain POSTROUTING (policy ACCEPT 3817 packets, 245K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       tcp  --  *      *       172.16.18.5          0.0.0.0/0           tcp dpt:3389 to:172.16.18.1
    0     0 SNAT       tcp  --  *      *       172.16.18.5          0.0.0.0/0           tcp dpt:4899 to:172.16.18.1

Chain OUTPUT (policy ACCEPT 3788 packets, 243K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            83.234.224.36       tcp dpt:3389 to:172.16.18.5:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.130.75      tcp dpt:3389 to:172.16.18.5:3389
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.130.75      tcp dpt:4899 to:172.16.18.5:4899
С данными настройками я могу через сеть провайдера (breth1) подключиться как к терминальному серверу, так и через RADMIN. А вот с Интернета (ppp1) подключиться не удается.
В логах имеются записи

Код: [Выделить]

May 12 13:25:56 mail kernel: [88640.991672] IN_ppp1: IN=breth1 OUT=breth0 PHYSIN=eth1 SRC=192.168.200.203 DST=172.16.18.5 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=90 DF PROTO=TCP SPT=1035 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0
May 12 13:25:57 mail kernel: [88641.185815] IN_ppp1: IN=breth1 OUT=breth0 PHYSIN=eth1 SRC=192.168.200.203 DST=172.16.18.5 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=94 DF PROTO=TCP SPT=1036 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0
May 12 18:35:32 mail kernel: [107216.971557] IN_ppp1: IN=ppp1 OUT=breth0 SRC=80.68.241.98 DST=172.16.18.5 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=19409 DF PROTO=TCP SPT=3602 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0
May 12 20:06:52 mail kernel: [112697.105604] IN_ppp1: IN=ppp1 OUT=breth0 SRC=64.71.12.174 DST=172.16.18.5 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=7747 DF PROTO=TCP SPT=3485 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0
May 12 20:41:46 mail kernel: [114790.530999] IN_ppp1: IN=ppp1 OUT=breth0 SRC=82.90.141.76 DST=172.16.18.5 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=3782 DF PROTO=TCP SPT=1905 DPT=3389 WINDOW=65535 RES=0x00 SYN URGP=0
Что и где неправильно, не могу понять

[black_13]

В первом посте:
Исправить строчку:

Код: [Выделить]

-A PREROUTING -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389на

Код: [Выделить]

-A PREROUTING -d ppp1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389Убрать строчку (че это вообще?)

Код: [Выделить]

-A OUTPUT -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389И последнюю строчку:

Код: [Выделить]

-A FORWARD -d 172.16.18.5/32 -p tcp -m tcp --dport 3389 -j ACCEPTИсправить на:

Код: [Выделить]

-A FORWARD -d 172.16.18.5 -p tcp -m tcp --dport 3389 -j ACCEPTПоидее должно работать. Если нет ... то tcpdump вам в руки и разпихивание куда попало логирования :)

[Tovbor]

OUTPUT почистил (туда правила alterator-net-iptables вписал при настройке форварда)
Исправил правила, результат отрицательный.
Вывод tcpdump мне ничего не говорит:

Код: [Выделить]

tcpdump -l -n dst port 3389
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:59:03.031422 IP 95.189.65.120.1028 > 172.16.18.5.3389: S 585100180:585100180(0) win 65535 <mss 1436,nop,nop,sackOK>
11:59:03.085298 IP 95.189.65.120.1025 > 172.16.18.5.3389: . ack 2151298433 win 65535
11:59:03.091146 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
11:59:06.082246 IP 95.189.65.120.1025 > 172.16.18.5.3389: . ack 1 win 65535
11:59:06.131711 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
11:59:12.146871 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
11:59:12.644647 IP 95.189.65.120.1025 > 172.16.18.5.3389: . ack 1 win 65535
11:59:24.066779 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
11:59:36.098486 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
11:59:48.128284 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
12:00:12.081056 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
12:00:27.077982 IP 82.207.125.15.4577 > 172.16.18.5.3389: S 2246684288:2246684288(0) win 65535 <mss 1436,nop,nop,sackOK>
12:00:27.357164 IP 82.207.125.15.1025 > 172.16.18.5.3389: P 2246684289:2246684327(38) ack 2768914944 win 65535
12:00:29.730197 IP 82.207.125.15.1025 > 172.16.18.5.3389: . ack 1 win 65535
12:00:30.306706 IP 82.207.125.15.1025 > 172.16.18.5.3389: P 0:38(38) ack 1 win 65535
12:00:34.362133 IP 82.207.125.15.1025 > 172.16.18.5.3389: P 38:47(9) ack 1 win 65535
12:00:34.364061 IP 82.207.125.15.4577 > 172.16.18.5.3389: F 2246684336:2246684336(0) ack 2768914944 win 65535
12:00:36.290340 IP 82.207.125.15.1025 > 172.16.18.5.3389: . ack 1 win 65535
12:00:36.324544 IP 82.207.125.15.4577 > 172.16.18.5.3389: FP 4294967249:0(47) ack 1 win 65535
12:01:00.095583 IP 95.189.65.120.1025 > 172.16.18.5.3389: P 0:19(19) ack 1 win 65535
^C
20 packets captured
20 packets received by filter
0 packets dropped by kernel

[MisHel64]

Блин, ну что так сложно рассказать, какие ипы у вас и где?
83.234.141.131 это ваш внешний ип?
172.16.18.5 это ип сервера?

-A PREROUTING -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
Все, завернули, смотрите сколько раз правило сработало.

-A OUTPUT -d 83.234.141.131/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.18.5:3389
Я сильно сомневаюсь, что это нужно, и когда нибудь сработает.

-A FORWARD -f -j DROP
А чем вам фрагментированные пакеты помешали?

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50
Если не секрет, а что вы вот этой строчкой хотели добиться?

-A FORWARD -d 172.16.18.5/32 -p tcp -m tcp --dport 3389 -j ACCEPT
Вы бы перед этим местом поставили запись в syslog пакетиков, которые на 3389/tcp идут.
И кусочек этого лога суда.

[Tovbor]

Ура!!! Нашел корень проблемы.
Так как ALT Linux 5.0.1 Ark Server рабочие интерфейсы обзывает breth, то правила срабатывали только для интерфеса breth.
Когда интерфейсы вернул в "нормальный" вид сразу все заработало. Я так думаю что и ppp1 надо было обозвать brppp1 возможно и через него правила бы заработали.

[MisHel64]

Я так думаю что и ppp1 надо было обозвать brppp1 возможно и через него правила бы заработали.

Нет не нужно. Это только на езернет интерфейсы ковчег мосты прикручивает, которые сразу после установки нужно откручивать.

[Tovbor]

Тогда получается косячок с мостами в ALT Linux 5.0.1 Ark Server.

[MisHel64]

Тогда получается косячок с мостами в ALT Linux 5.0.1 Ark Server.

Да. Кривые и на фиг не нужные они там.

[Skull]

Да. Кривые и на фиг не нужные они там.

Есть предложение, как лучше реализовать сеть для KVM и OpenVZ? Ручками для каждой машины?

[MisHel64]

Да. Кривые и на фиг не нужные они там.

Есть предложение, как лучше реализовать сеть для KVM и OpenVZ? Ручками для каждой машины?

Кому нужно будет, тот сам поднимет бриджи, причем на тех интерфейсах, на которых нужно.
 

[black_13]

Кому нужно будет, тот сам поднимет бриджи, причем на тех интерфейсах, на которых нужно.

+1 В такие проги ламеры не лезут

[Katam]

Эмм.. простите чайника что лезет в разговор..

а как ручками открутить мосты??