| View previous topic :: View next topic |
| Author |
Message |
Zitan
n00b
Joined: 16 Jun 2007
Posts: 71
Location: Człuchów
|
 Posted: Thu Feb 03, 2011 8:37 pm Post subject: Serwer VNC na windowsie w sieci lokalnej za routerem linux |
 |
|
Sytuacja jest następująca mam serwer co prawda na Debianie ale tu chodzi o IP tables bardziej a nie o dystrybucję. Chcę mieć możliwość zalogowania się na maszynę Windows przy użyciu VNC. Klienci Windowsowi dostają IP z usługi dhcp na serwerze z karty eth0, do tego jest maskarada (WAN) eth0. Jestem już tak zdesperowany że nawet zrobiłem schemat  http://img525.imageshack.us/i/netqt.jpg/ . Na routerze mam aktualnie przekierowanie portów 5800, 5900, 5901.
IP tables wygląda tak:
| Code: |
# wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo 1 > /proc/sys/net/ipv4/tcp_timestamps
/bin/echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
/bin/echo 10 > /proc/sys/net/ipv4/ipfrag_time
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
/bin/echo 1 > /proc/sys/net/ipv4/tcp_rfc1337
/bin/echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
/bin/echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
/bin/echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
/bin/echo 2400 > /proc/sys/net/ipv4/tcp_keepalive_time
/bin/echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
/bin/echo 0 > /proc/sys/net/ipv4/tcp_sack
/bin/echo 20 > /proc/sys/net/ipv4/ipfrag_time
/bin/echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Właczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
# czyszczenie starych reguł
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
# ustawienie domyślnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
# utrzymanie połączeń nawiązanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
#iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
#iptables -A FORWARD -s 192.168.20.0/24 -j ACCEPT
# dla wybranych komputerĂłw
iptables -t nat -A POSTROUTING -s 192.168.20.2/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.2/32 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.20.3/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.3/32 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.20.4/32 -j MASQUERADE
iptables -A FORWARD -s 192.168.20.4/32 -j ACCEPT
#VNC
iptables -I FORWARD -p tcp -d 192.168.20.2 -m multiport --dport 5800,5900,5901 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 -m multiport --dport 5800,5900,5901 -j DNAT --to 192.168.20.2
iptables -I FORWARD -p udp -d 192.168.20.2 -m multiport --dport 5800,5900,5901 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth0 -m multiport --dport 5800,5900,5901 -j DNAT --to 192.168.20.2 |
jak na litość boską zalogować się na serwer VNC na komputerze z końcówką .2?. Jak wykonać to zadanie co robię nie tak kończą mi się pomysły. Powiedzcie mi proszę również jak mam wpisać adres tego serwera windowsowskiego, na kliencie z zewnątrz <stały_IP_rotera:5900>?. Aktualnie chciałbym zalogować się lokalnie przynajmniej, a nawet tego nie mogę  .
_________________
Gentoo |
|
| Back to top |
|
 |
matidz
n00b
Joined: 17 Jun 2010
Posts: 29
Location: Poland, Torun
|
| Posted: Thu Feb 03, 2011 11:09 pm Post subject: |
|
|
hmm nie wiem czy czasem nie powinno byc:
| Code: | | iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 5800,5900,5901 -j DNAT --to 192.168.20.2 |
itd.
(tzn eth1 zamiast eth0)
EDIT:
i z routera przekierowujesz te porty na 192.168.20.1
EDIT2:
mezesz tez zobaczyc czy ta regula w ogole jest wykozystywana:
| Code: | | iptables -t nat -vnL |
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Polskie forum (Polish) 
