Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Проброс rdp через iptables
View unanswered posts
View posts from last 24 hours

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Mon Oct 18, 2010 6:49 am    Post subject: Проброс rdp через iptables Reply with quote

Доброе время суток всем!

Столкнулся с такой проблемой. Необходимо сделать проброс rpd через iptable, но почему то не получается.

Вот информация:
Ядро: 2.6.34-gentoo-r6 (SMP)
eth0: 192.168.1.230/24, 10.10.10.250/24
eth1: 192.168.88.40/24
ppp0: 85.15.69.142

Ну и вот собственно правило в iptables
Code:
IPT=/sbin/iptables
EXT_IF=ppp0
EXT_IP=85.15.69.142
EXT_PORT=3389
INT_IP=192.168.1.2
INT_PORT=3389
$IPT -t nat -A PREROUTING -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT


При попытки подключения с интернетом rpd-клиентом ответа нет... Попробовал ради интереса изменить порт на 80, все нормально работает, а вот rdp не хочет :(

Подскажите пожалуйста с чем это может быть связанно?

--add
Пробовал с локалки, тоже самое, почему то не работает... Терминал работает, т.е. прямое подключение на конкретную машину. А вот через iptables нет.
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Mon Oct 18, 2010 1:26 pm    Post subject: Reply with quote

Решил попробовать вообще работает ли это правило. Изменил его:
Code:
IPT=/sbin/iptables
EXT_IF=ppp0
EXT_IP=85.15.69.142
EXT_PORT=6900
INT_IP=85.15.69.142
INT_PORT=80
$IPT -t nat -A PREROUTING -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT


На клиентской машине в браузе ввел ссылку 85.15.69.142:6900 - все работает... А вот rdp не хочет. Так же попробовал radmin, тоже самое, не работает :(
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Tue Oct 19, 2010 1:17 am    Post subject: Reply with quote

Ощущение, что русская ветка совсем загнулась :( Еще год назад мало кто тут появлялся :( А у меня был большой разрыв с работой unix систем, все уже забыл :(
Back to top
View user's profile Send private message
Bers-trayan
n00b
n00b


Joined: 19 Oct 2010
Posts: 2

PostPosted: Tue Oct 19, 2010 11:18 am    Post subject: Reply with quote

а у тебя правило для FORWARD есть для этого порта?
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Tue Oct 19, 2010 12:06 pm    Post subject: Reply with quote

Вот мои правила:
Code:
#!/bin/sh                                       
# Generic IPTables script, accept all by default
# path to your iptables executable             
IPT=/sbin/iptables                             

$IPT -F               
$IPT -t nat -F       
$IPT -P INPUT DROP   
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP 
export LAN=eth0       
export WAN=ppp0       
export Lo=lo         
ADM="10.10.10.240"
$IPT -I INPUT 1 -i ${LAN} -j ACCEPT
$IPT -I INPUT 1 -i lo -j ACCEPT   
$IPT -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
$IPT -A INPUT -p TCP --dport 80 -i ${WAN} -j ACCEPT
$IPT -A INPUT -p TCP --dport 21 -i ${WAN} -j ACCEPT

EXT_IF=ppp0       
EXT_IP=85.15.69.142
EXT_PORT=3389     
INT_IP=192.168.1.2
INT_PORT=3389     
$IPT -A INPUT -p TCP --dport 3389 -i ${WAN} -j ACCEPT
$IPT -t nat -A PREROUTING --dst $EXT_IP -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
$IPT -A FORWARD -d $INT_IP -p tcp -m tcp --dport $INT_PORT -j ACCEPT
$IPT -t nat -A POSTROUTING -d $INT_IP -p tcp -m tcp --dport $INT_PORT -s 192.168.1.230/24 -j SNAT --to-source 192.168.1.230

$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 3127 -j DROP
$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -A INPUT -p UDP -i ${WAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -I FORWARD -i ${LAN} -d 10.10.10.0/255.255.255.0 -j DROP 
$IPT -A FORWARD -i ${LAN} -s 10.10.10.0/255.255.255.0 -j ACCEPT
$IPT -A FORWARD -i ${WAN} -d 10.10.10.0/255.255.255.0 -j ACCEPT

echo -n "FW: accept connection MASQUERADE internet ADM: "
for i in $ADM;                                           
do                                                       
 echo -n "$i "                                           
$IPT -t nat -A POSTROUTING -o ${WAN} -s $i -j MASQUERADE
done                                                     
echo ""                                                 

echo -n "FW: accept connection squid internet ADM: "                           
for i in $ADM;                                                                 
do                                                                             
 echo -n "$i "                                                                 
    $IPT -t nat -A PREROUTING -p tcp --dport 80 -s $i -j REDIRECT --to-port 3128
done                                                                           
echo ""                                                                         

echo 1 > /proc/sys/net/ipv4/ip_forward                             
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done


В общем в таком раскладе не работает все равно... Тут я уже грешу на маршрутизацию... У меня такая ситуация, сейчас сетка используется 192.168.1.0/24, но я планирую перейти на 10.10.10.0/24. Потому в iptables - это вылезает.

Сейчас немного опишу что у меня имеется на данный момент.
Есть eth0 (смотрит в локалку) 192.168.1.230
eth1 (смотрит на ADSL модем в режиме бриджа) 192.168.88.40
И есть ppp0 85.15.69.142

Конфиги сети такие:
Code:
config_eth0=(       
  "192.168.1.230/24"
#  "10.10.10.250/24"
)                   

config_eth1=(             
  "192.168.88.40/24"       
)                         
                           
routes_eth1=(             
  "default gw 192.168.88.1"

config_ppp0=( "ppp" )             
  link_ppp0="eth1"               
  plugins_ppp0=( "pppoe" )       
  username_ppp0='логин'       
  password_ppp0='пароль'       
pppd_ppp0=(                       
            "debug"               
            "defaultroute"       
            "updetach"           
#           "mru 1492"           
#           "mtu 1400"           
            "lcp-echo-failure 10"
            "lcp-echo-interval 60"
            )


При поднятии ppp0 выполняется такая команда
Code:
route add default ppp0                       
route add -net 192.168.0.0/16 gw 192.168.88.1


В итоге:
Code:
gate init.d # route -n                                                       
Kernel IP routing table                                                     
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.15.64.119    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     192.168.88.1    255.255.0.0     UG    0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo   
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
0.0.0.0         192.168.88.1    0.0.0.0         UG    0      0        0 eth1


Возможно в роутах зарыта собака... :(

---add
Кстати, я перепутал в правилах iptables везде стоит ppp0

Вот еще информация
Code:
188.168.9.36:20950                          =       3       144 S---   ppp0
85.15.69.142:3389                           =       0         0 ----   ppp0

188.168.9.36:20950                          =       3       144 S---   eth0
192.168.1.3:3389                            =       0         0 ----   eth0


Делал прогой IPTraf
Back to top
View user's profile Send private message
dmpogo
Advocate
Advocate


Joined: 02 Sep 2004
Posts: 3264
Location: Canada

PostPosted: Tue Oct 19, 2010 1:51 pm    Post subject: Reply with quote

А кто у нас 192.168.88.1 ?
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Tue Oct 19, 2010 10:21 pm    Post subject: Reply with quote

192.168.88.1 - это шлюз пройвайдера. Т.е. у них есть вн сетка, вн адреса.. Я помню когда то у меня была проблема с маршрутизацией.
Back to top
View user's profile Send private message
Bers-trayan
n00b
n00b


Joined: 19 Oct 2010
Posts: 2

PostPosted: Wed Oct 20, 2010 4:18 am    Post subject: Reply with quote

попробуй добавить правило разрешающее установившиеся соединения
Code:
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

у меня без этого правила тоже не пускал к rdp
Back to top
View user's profile Send private message
smk
Tux's lil' helper
Tux's lil' helper


Joined: 31 May 2007
Posts: 80
Location: SPB

PostPosted: Wed Oct 20, 2010 7:46 am    Post subject: Reply with quote

Вы уж извините, но правила по-умолчанию у Вас порт 3389 и закрывают. Цепочка INPUT
Quote:

$IPT -P INPUT DROP


Т.е. По аналогии надо добавить:
Code:
 $IPT -A INPUT -p TCP --dport 3389 -i ${WAN} -j ACCEPT

_________________
USE --force, Luke
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Wed Oct 20, 2010 10:01 am    Post subject: Reply with quote

smk, у меня стоял ACCEPT на порт 3389.

В общем сейчас отпишу как все есть и приблизительные причины проблемы...

Начнем еще раз с того какие у меня интерфейсы, IP и само собой роуты, ну и на последок правила iptables.

eth0 - 192.168.1.230 (смотрит в локалку)
eth1 - 192.168.88.40 шлюз 192.168.88.1 (с такими настройками я вижу внутреннюю сеть провайдера - модем в режиме бриджа)
ppp0 - 85.15.69.142 (внешний IP, PPPoE)

Вот настройки /etc/conf.d/net
Code:
config_eth0=(       
  "192.168.1.230/24"
)                   

config_eth1=(             
  "192.168.88.40/24"       
)                         
                           
routes_eth1=(             
  "default gw 192.168.88.1"
)                       

config_ppp0=( "ppp" )
  link_ppp0="eth1"
  plugins_ppp0=( "pppoe" )
  username_ppp0='login'
  password_ppp0='password'
pppd_ppp0=(
            "debug"
            "defaultroute"
            "updetach"
            "lcp-echo-failure 10"
            "lcp-echo-interval 60"
            )


При поднятии ppp0 выполняется такая команда (необходимо, чтобы ходил в интернет через через ppp0 и проходили пакеты с локалки во внутреннюю сеть провайдера):
Code:
route add default ppp0                       
route add -net 192.168.0.0/16 gw 192.168.88.1


Вот что в результате # route -n
Kernel IP routing table
Code:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.15.64.119    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     192.168.88.1    255.255.0.0     UG    0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo   
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
0.0.0.0         192.168.88.1    0.0.0.0         UG    0      0        0 eth1


Ну и вот собственно проблема. Пример приведу на машинке, к которой пытаюсь подключиться (rdp - сервер).
# ping ter
Code:
PING ter.rmk.lan (192.168.1.3) 56(84) bytes of data.         
64 bytes from 192.168.1.3: icmp_req=1 ttl=128 time=8.59 ms   
64 bytes from 192.168.1.3: icmp_req=2 ttl=128 time=0.399 ms   
64 bytes from 192.168.1.3: icmp_req=3 ttl=128 time=0.398 ms   
64 bytes from 192.168.1.3: icmp_req=4 ttl=128 time=0.384 ms   
^C                                                           
--- ter.rmk.lan ping statistics ---                           
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.384/2.442/8.590/3.549 ms


# traceroute ter
Code:
traceroute to ter (192.168.1.3), 30 hops max, 60 byte packets
 1  * * *                                                   
 2  * * *                                                   
 3  * * *                                                   
 4  * * *                                                   
 5  * * *                                                   
 6  * * *                                                   
 7  * * *                                                   
 8  * * *                                                   
 9  * * *                                                   
10  * * *                                                   
11  * * *                                                   
12  * * *                                                   
13  * * *                                                   
14  * * *                                                   
15  * * *                                                   
16  * * *                                                   
17  * * *                                                   
18  * * *                                                   
19  * * *                                                   
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *


Отсюда уже видно, что что то не так у меня с маршрутизацией... В принципе изначально надо решить эту проблему, а потом уже смотреть на правила iptables.
Back to top
View user's profile Send private message
smk
Tux's lil' helper
Tux's lil' helper


Joined: 31 May 2007
Posts: 80
Location: SPB

PostPosted: Wed Oct 20, 2010 1:58 pm    Post subject: Reply with quote

Тогда сразу бы сказали, что проблемы с маршрутизацией подсетей для ppp0.

По теме - решал свои проблемы с подключением по ppp скриптом в /etc/ppp/if-up.d/60-routes.sh :
Code:

#!/bin/sh

# This script is run by pppd after the link is established.

# It executes all the scripts available in /etc/ppp/ip-up.d directory,

# with the following parameters:

# $1 = interface name (e.g. ppp0)

# $2 = tty device

# $3 = speed

# $4 = local IP address

# $5 = remote IP address

# $6 = ipparam (user specified parameter, see man pppd)



# pppd ip-up script for all-to-tunnel routing



## Direct tunnelled packets to the tunnel server

#route add -host <pptp_server> gw <gateway_ip> dev <default_nw_iface>



## direct all other packets into the tunnel

#route del default dev eth0

#ip route flush dev eth0

#route del default gw

#route add defaul dev $1

#route add default gw $4

route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.50.64.2 dev eth0

route add -net 80.70.225.96 netmask 255.255.255.224 gw 10.50.64.2 dev eth0

route del default

route add default gw $4 dev $1

#route del -net 0.0.0.0 netmask 0.0.0.0

route del 80.70.225.49 gw 0.0.0.0


Где у меня eth0 -интерфейс провайдера, подсеть 10.0.0.0/16 , шлюз 10.50.64.2

ppp0 c динамическим IP , с локальной маршрутизацией для людей с этой же подсети.

Последнее правило - удаляет лишний маршрут, образующийся просле подключения ppp, у Вас может его не быть. Попробуйте сообразить что нибуть в том же духе.
_________________
USE --force, Luke
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 2:38 am    Post subject: Reply with quote

Немного покрутил сегодня сервак, выявил такую ерунду.

Вот с такими правилами у меня все работает:

Code:
EXT_IF=eth0       
EXT_IP=10.10.10.250
EXT_PORT=3389     
INT_IP=111.111.111.111
INT_PORT=3389     
$IPT -t nat -A PREROUTING -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT


Адрес 111.111.111.111 (внешний, на реальный rdp сервер), на него пробрасывает и соединение устанавливается.
А вот с моего внешнего 85.15.69.142 (ppp0) не хочет пробрасывать на внутренний IP адрес...

Подскажите куда смотреть, может я что то не верно сделал с правилами? Или же роуты не те.
Back to top
View user's profile Send private message
K13
n00b
n00b


Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia

PostPosted: Thu Oct 21, 2010 3:54 am    Post subject: Reply with quote

Два маршрута по умолчанию в одном контексте маршрутизации с одной метрикой не есть правильно...
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 5:29 am    Post subject: Reply with quote

Роуты я подправил, сейчас вот так:
Code:
gate squid # route -n                                                       
Kernel IP routing table                                                     
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.15.64.119    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo   
0.0.0.0         85.15.64.119    0.0.0.0         UG    0      0        0 ppp0


В общем проблема в том, что с вн сети я могу пробросить порт на инетовский rdp-сервер, а с внешней на мой внутренний не пропускает.
Back to top
View user's profile Send private message
smk
Tux's lil' helper
Tux's lil' helper


Joined: 31 May 2007
Posts: 80
Location: SPB

PostPosted: Thu Oct 21, 2010 6:33 am    Post subject: Reply with quote

Покажите теперь правила, при которых не работает проброс во внутреннюю сеть.
# iptables -L -v


PS: ppp0 у меня работал нестабильно и периодически рвался из-за того, что соединение устанавливается через ethernet с MTU 1500, и в результате нужно было фрагментировать пакеты на интерфейсе ppp0 следующей командой:
iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
_________________
USE --force, Luke
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 7:08 am    Post subject: Reply with quote

Вот

Code:
gate ~ #  iptables -L -v                                                       
Chain INPUT (policy ACCEPT 82415 packets, 111M bytes)                         
 pkts bytes target     prot opt in     out     source               destination
                                                                               
 1336  164K ACCEPT     all  --  lo     any     anywhere             anywhere   
                                                                               
40271 2757K ACCEPT     all  --  eth0   any     anywhere             anywhere   
                                                                               
 5505  530K ACCEPT     tcp  --  ppp0   any     anywhere             anywhere   
        tcp dpt:ssh                                                           
    0     0 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere   
        tcp dpt:http                                                           
    0     0 DROP       tcp  --  ppp0   any     anywhere             anywhere   
        tcp dpt:ftp                                                           
    0     0 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere   
        tcp dpt:ms-wbt-server                                                 
    0     0 DROP       udp  --  eth0   any     anywhere             anywhere   
        udp dpt:3127                                                           
    0     0 ACCEPT     udp  --  eth0   any     anywhere             anywhere   
        udp dpt:ntp                                                           
   36  2736 ACCEPT     udp  --  ppp0   any     anywhere             anywhere   
        udp dpt:ntp                                                             
                                                                               
Chain FORWARD (policy DROP 0 packets, 0 bytes)                                 
 pkts bytes target     prot opt in     out     source               destination
                                                                               
    0     0 DROP       all  --  eth0   any     anywhere             10.10.10.0/2
4                                                                               
80129 5832K ACCEPT     all  --  eth0   any     10.10.10.0/24        anywhere   
                                                                               
 8418 9075K ACCEPT     all  --  ppp0   any     anywhere             10.10.10.0/2
4                                                                               
                                                                               
Chain OUTPUT (policy ACCEPT 142K packets, 115M bytes)                           
 pkts bytes target     prot opt in     out     source               destination


И вот еще

Code:
gate ~ # iptables -L -n -v -t nat                                               
Chain PREROUTING (policy ACCEPT 93903 packets, 6109K bytes)                     
 pkts bytes target     prot opt in     out     source               destination
                                                                               
    0     0 DNAT       tcp  --  ppp0   *       0.0.0.0/0            85.15.69.142
        tcp dpt:3389 to:10.10.10.241:3389                                       
   98  5096 REDIRECT   tcp  --  *      *       10.10.10.113         0.0.0.0/0   
        tcp dpt:80 redir ports 3128                                             
  629 32088 REDIRECT   tcp  --  *      *       10.10.10.240         0.0.0.0/0   
        tcp dpt:80 redir ports 3128                                             
                                                                               
Chain OUTPUT (policy ACCEPT 2838 packets, 205K bytes)                           
 pkts bytes target     prot opt in     out     source               destination
                                                                               
                                                                               
Chain POSTROUTING (policy ACCEPT 2838 packets, 205K bytes)                     
 pkts bytes target     prot opt in     out     source               destination
                                                                               
    7   398 MASQUERADE  all  --  *      ppp0    10.10.10.113         0.0.0.0/0 
                                                                               
75477 4528K MASQUERADE  all  --  *      ppp0    10.10.10.240         0.0.0.0/0
Back to top
View user's profile Send private message
smk
Tux's lil' helper
Tux's lil' helper


Joined: 31 May 2007
Posts: 80
Location: SPB

PostPosted: Thu Oct 21, 2010 7:59 am    Post subject: Reply with quote

Обратите внимание, пакеты в первое правило DNAT-а не доходят.

Помоему Вы перемудрили с синтаксисом что-то. Правило у Вас выглядит так:
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 85.15.69.142 tcp dpt:3389 to:10.10.10.241:3389

У меня рабочее правило выглядит так (где eth1 провайдер со внешним айпи, а 172.16.0.2 моя внутрянняя подсеть):
3 144 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4000 to:172.16.0.2
_________________
USE --force, Luke
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 8:17 am    Post subject: Reply with quote

Это взято с рабочего конфига... Т.е. у человека тоже gentoo, и тоже самое правило. И я к нему могу подключиться. А вот ко мне нельзя. Конечно все правила я у него не видел, там их достаточно много, у меня скажем так минимум.

Этим же правилом я могу пробросить с вн на внешний rdp-сервер, но и им же с внешнего на внутренний не могу :(

----add
Исправил на такое
Code:
$IPT -t nat -A PREROUTING -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP


Получилось:
Code:
Chain PREROUTING (policy ACCEPT 780 packets, 47683 bytes)                     
 pkts bytes target     prot opt in     out     source               destination
                                                                               
    1    48 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0 
        tcp dpt:3389 to:10.10.10.240


Все равно не подключается :( Уже даже и не знаю на что смотреть... Ладно бы с вн сети не работало данное правило, так с внутренней все работает и пробрасывает.
Back to top
View user's profile Send private message
K13
n00b
n00b


Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia

PostPosted: Thu Oct 21, 2010 9:04 am    Post subject: Reply with quote

Предлагаю следующий порядок поиска проблемы, запустить снифер на внутреннем интерфейсе (eth0), пробовать подключаться, проверить:
- наличие пакетов идущих на машину 10.10.10.241
- наличие пакетов от машины 10.10.10.241

аналогично запустить снифер на интерфейсе ppp0 посмотреть что "бегает" через него, т.о. можно определить на каком участке возникает трабла
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 9:20 am    Post subject: Reply with quote

Вот что показывает iptraf
Code:
188.168.9.36:10293                          =       3       144 S---   ppp0
85.15.69.142:3389                           =       0         0 ----   ppp0

188.168.9.36:10293                          =       3       144 S---   eth0
10.10.10.240:3389                           =       0         0 ----   eth0


Если честно, я не знаю каким снифером лучше смотреть что на каких интерфейсах происходит... :(
Back to top
View user's profile Send private message
K13
n00b
n00b


Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia

PostPosted: Thu Oct 21, 2010 9:42 am    Post subject: Reply with quote

Судя по статистике, с машинки 188.168.9.36 пришло три пакета с syn флагом, отнатилось на правильный адрес и ушло через внутренний интерфейс на правильный адрес, а вот назад от машины 10.10.10.240 ничего не пришло...
Стоит проверить маршрутную информацию на этой машине для внешнего адреса 188.168.9.36.
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 10:01 am    Post subject: Reply with quote

Т.е. на виндовой машине? Хм, внутри сети оно все замечательно работает... Тут я немного не понял :(
Back to top
View user's profile Send private message
K13
n00b
n00b


Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia

PostPosted: Thu Oct 21, 2010 10:07 am    Post subject: Reply with quote

Приложите вывод route print с этой машины, возможно трафик блокируется установленным на виндовой машине firewall.
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 10:22 am    Post subject: Reply with quote

К сожалению сейчас это сделать не смогу, т.к. у нас рабочий день кончился уже как 3 часа назад и я уже не на работе, а достучаться не могу... как раз сабж по этой проблеме :)

Но могу сказать в свое оправдание, что с локалки без проблем цепляется и так же без проблем цепляется, когда модем воткнут в локальный сервер rdp и на нем поднято pppoe..
Back to top
View user's profile Send private message
ntsite
Tux's lil' helper
Tux's lil' helper


Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia

PostPosted: Thu Oct 21, 2010 10:34 pm    Post subject: Reply with quote

Ну собственно я уже на работе, потому могу показать нужную информацию.
Подключаемся мы к машинке с внутренним адресом 10.10.10.240

Вот ее конфиг:
Code:
Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . : rmk.lan
   Описание. . . . . . . . . . . . . : Гигабитное сетевое подключение Intel(R) 8
2566DM-2
   Физический адрес. . . . . . . . . : 00-1C-C0-14-F1-01
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.10.10.240(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 21 октября 2010 г. 9:10:54
   Срок аренды истекает. . . . . . . . . . : 23 октября 2010 г. 9:10:42
   Основной шлюз. . . . . . . . . : 10.10.10.250
   DHCP-сервер. . . . . . . . . . . : 10.10.10.250
   DNS-серверы. . . . . . . . . . . : 10.10.10.250
   Основной WINS-сервер. . . . . . . : 10.10.10.250
   NetBios через TCP/IP. . . . . . . . : Включен

У меня поднять DHCP сервер, и DNS... DNS отвечает:
gate ~ # host am
Code:
am.rmk.lan has address 10.10.10.240


Далее роуты:
Code:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.10.10.250     10.10.10.240     20
       10.10.10.0    255.255.255.0         On-link      10.10.10.240    276
     10.10.10.240  255.255.255.255         On-link      10.10.10.240    276
     10.10.10.255  255.255.255.255         On-link      10.10.10.240    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.10.10.240    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.10.10.240    276
===========================================================================
Постоянные маршруты:
  Отсутствует


Ну и вот, что говорит nmap на сервере:
Code:
gate ~ # nmap -v -A am
Starting Nmap 5.21 ( http://nmap.org ) at 2010-10-22 09:28 VLAST   
Initiating ARP Ping Scan at 09:28                                   
Scanning am (10.10.10.240) [1 port]                                 
Completed ARP Ping Scan at 09:28, 0.14s elapsed (1 total hosts)     
Initiating Parallel DNS resolution of 1 host. at 09:28             
Completed Parallel DNS resolution of 1 host. at 09:28, 0.02s elapsed
Initiating SYN Stealth Scan at 09:28                               
Scanning am (10.10.10.240) [1000 ports]                             
Discovered open port 80/tcp on 10.10.10.240 
Discovered open port 135/tcp on 10.10.10.240
Discovered open port 3389/tcp on 10.10.10.240
Discovered open port 139/tcp on 10.10.10.240
Discovered open port 445/tcp on 10.10.10.240
Discovered open port 3306/tcp on 10.10.10.240


Стоит 7ка, дополнительных файерволов не ставил. Грубо говоря каспер. Ну он даже ни единого звука не издает при попытке подключения с внешки.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum