| View previous topic :: View next topic |
| Author |
Message |
K13
n00b
Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia
|
 Posted: Fri Oct 22, 2010 6:13 am Post subject: |
 |
|
| Похоже с настройками порядок, остается установить снифер на Windows машину и посмотреть как себя чувствуют пакеты от соответствующих адресов и куда они уходят. |
|
| Back to top |
|
 |
ntsite
Tux's lil' helper
Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia
|
| Posted: Fri Oct 22, 2010 7:32 am Post subject: |
|
|
Вот сделал наоборот, проброс с внутренней сети... все работает...
| Code: | 96.123.10.1:3389 = 73 26536 -PA- ppp0
85.15.69.142:59102 = 66 26398 --A- ppp0
10.10.10.250:3389 = 67 26416 -PA- eth0
10.10.10.240:59102 = 66 26506 --A- eth0 |
Внешний IP изменил, он не реальный. Но до этого стоял реальный и как видно все работает. С внешнего интерфейса по каким то причинам не работает 
Попробовал использовать Wireshark. Слушал на единственном интерфейсе с адресом 10.10.10.240 с параметром фильтра portmap.port == 3389 - ни единого пакета при подключении... Такое ощущение, что шлюз не форвардит пакет во внутреннюю сеть. Либо каким то правилом что то закрыто... Хотя с другой стороны, iptraf показывает, что уходит, но на клиентскую машину по этому порту ничего не приходит.
В общем я уже даже и не знаю в чем трабла может быть |
|
| Back to top |
|
|
ntsite
Tux's lil' helper
Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia
|
| Posted: Fri Oct 22, 2010 9:25 am Post subject: |
|
|
В общем проверил я таким образом... Глупо, но эффективно!
В правилах iptables я поменял местами внутренний интерфейс с внешним во всех правилах. И сделал таким образом как бы интернет внутренней, а локальную - интернетом. При попытки соединения с rdp сервером с интернета, все заработало... Вернул обратно, с локалки работает а с инета нет.
В общем я так понял у меня не верно настроен iptables... Он не форвардит пакеты или же закрывает порты... |
|
| Back to top |
|
|
K13
n00b
Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia
|
| Posted: Fri Oct 22, 2010 10:38 am Post subject: |
|
|
| Возможно, попробуйте временно убрать запрещающие правила для пакетов из локалки. |
|
| Back to top |
|
|
ntsite
Tux's lil' helper
Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia
|
| Posted: Fri Oct 22, 2010 11:34 am Post subject: |
|
|
Тут убирать то если честно нечего  Скорей добавлять правила нужно...
Вот сам скрипт:
| Code: | #!/bin/sh
IPT=/sbin/iptables
$IPT -F
$IPT -t nat -F
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
export LAN=eth0
export WAN=ppp0
export Lo=lo
ADM="10.10.10.240"
$IPT -I INPUT 1 -i ${LAN} -j ACCEPT
$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
$IPT -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
$IPT -A INPUT -p TCP --dport 80 -i ${WAN} -j DROP
$IPT -A INPUT -p TCP --dport 21 -i ${WAN} -j DROP
EXT_IF=ppp0
EXT_IP=85.15.69.142
EXT_PORT=3389
INT_IP=10.10.10.240
INT_PORT=3389
$IPT -A INPUT -p TCP --dport 3389 -i ${WAN} -j ACCEPT
$IPT -t nat -A PREROUTING -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 3127 -j DROP
$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -A INPUT -p UDP -i ${WAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -I FORWARD -i ${LAN} -d 10.10.10.0/24 -j DROP
$IPT -A FORWARD -i ${LAN} -s 10.10.10.0/24 -j ACCEPT
$IPT -A FORWARD -i ${WAN} -d 10.10.10.0/24 -j ACCEPT
echo -n "FW: accept connection MASQUERADE internet ADM:
for i in $ADM;
do
echo -n "$i "
$IPT -t nat -A POSTROUTING -o ${WAN} -s $i -j MASQUERADE
done
echo ""
echo -n "FW: accept connection squid internet ADM: "
for i in $ADM;
do
echo -n "$i "
$IPT -t nat -A PREROUTING -p tcp --dport 80 -s $i -j REDIRECT --to-port 3128
done
echo ""
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done |
Вот в принципе и все... |
|
| Back to top |
|
|
ntsite
Tux's lil' helper
Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia
|
| Posted: Mon Oct 25, 2010 12:10 am Post subject: |
|
|
В общем все странно Получилось добиться нужного эффекта, но скажем так странным способом...
Предлагаю посмотреть мои правила для iptables... Я покажу ключевое правило от которого у меня все заработало. Быть может умные люди подскажут, что я делаю не так...
| Code: | #!/bin/sh
IPT=/sbin/iptables
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -F OUTPUT -t nat
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
export LAN=eth0
export WAN=ppp0
export Lo=lo
ADM="10.10.10.240"
$IPT -I INPUT 1 -i ${LAN} -j ACCEPT
$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i ${LAN} -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i ${WAN} -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
$IPT -A INPUT -p TCP --dport 80 -i ${WAN} -j DROP
$IPT -A INPUT -p TCP --dport 21 -i ${WAN} -j ACCEPT
EXT_IF=ppp0
EXT_IP=85.15.69.142
EXT_PORT=3389
INT_IP=10.10.10.241
INT_PORT=3389
$IPT -A INPUT -p TCP --dport 3389 -i ${WAN} -j ACCEPT
$IPT -t nat -A PREROUTING -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 3127 -j DROP
$IPT -A INPUT -p UDP -i ${LAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -A INPUT -p UDP -i ${WAN} -d 0/0 --dport 123 -j ACCEPT
$IPT -I FORWARD -i ${LAN} -d 10.10.10.0/24 -j DROP
$IPT -A FORWARD -i ${LAN} -s 10.10.10.0/24 -j ACCEPT
$IPT -A FORWARD -i ${WAN} -d 10.10.10.0/24 -j ACCEPT
$IPT -I FORWARD -o ${WAN} -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
$IPT -t nat -A POSTROUTING -o ${LAN} -s 85.15.69.143 -j MASQUERADE
echo -n "FW: accept connection MASQUERADE internet ADM: "
for i in $ADM;
do
echo -n "$i "
$IPT -t nat -A POSTROUTING -o ${WAN} -s $i -j MASQUERADE
done
echo ""
echo -n "FW: accept connection squid internet ADM: "
for i in $ADM;
do
echo -n "$i "
$IPT -t nat -A PREROUTING -p tcp --dport 80 -s $i -j REDIRECT --to-port 3128
done
echo ""
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done |
Заработало все собственно благодаря этому правилу
| Code: | | $IPT -t nat -A POSTROUTING -o ${LAN} -s 85.15.69.143 -j MASQUERADE |
Странно это однако В общем подскажите знающие люди, что я делаю не так... |
|
| Back to top |
|
|
K13
n00b
Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia
|
| Posted: Tue Oct 26, 2010 5:43 am Post subject: |
|
|
| Возможно RDP порт доступен только для локальных адресов... |
|
| Back to top |
|
|
ntsite
Tux's lil' helper
Joined: 13 Dec 2008
Posts: 86
Location: Khabarovsk, Russia
|
| Posted: Tue Oct 26, 2010 8:30 am Post subject: |
|
|
| Но это странно! У моего знакомого все работает без маскарада... А у меня нет... |
|
| Back to top |
|
|
K13
n00b
Joined: 20 Apr 2005
Posts: 18
Location: Salekhard, Russia
|
| Posted: Tue Oct 26, 2010 8:45 am Post subject: |
|
|
| Я уже предлагал снифер поставить на windows машину и посмотреть куда деваются пакеты входящие/исходящие |
|
| Back to top |
|
|
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
| Posted: Thu Oct 28, 2010 10:08 am Post subject: |
|
|
| Quote: | | for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done |
убери эту строчку или внимательно разберись с маршрутизацией
_________________
Слово „христианство“ основано на недоразумении; в сущности, был один христианин, и тот умер на кресте. |
|
| Back to top |
|
|
|
Russian
