Пожалуйста помогите решить задачу, проброс портов для Ubuntu 13.04 на локальный сервер. [Решено]

Изображение пользователя Владимир666.

Пожалуйста помогите решить такую задачу:

Есть локальная сеть 15 компьютеров с внутренним диапазонам 10.1.1.1-10.1.1.16
Вся локалка подключена через сервер на Убунту 13.04 с белым внешним айпишником 109.135.155.145 - и внутренним 10.1.1.2 который раздает интернет в локалку.

В самой локалке есть сервер на котором стоит 1 с-ка у него адрес 10.1.1.16 - к нему нужен удаленный доступ через уд. раб. стол.

Что я делал - я решил пробросить порт 3389 , 109.135.155.145 to 10.1.1.16 тоесть с внешнего на внутренний айпишник

1. Из компа в локалке через ssh клиент Putty захожу на 10.1.1.2 логинюсь root ввожу пароль ....

2. Далее команды:

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

sudo iptables -t nat -A PREROUTING -p tcp -d 109.135.155.145 --dport 3389 -j DNAT --to- destination 10.1.1.16:3389

sudo iptables -t nat -A POSTROUTING -p tcp --dst 10.1.1.16 --dport 3389 -j SNAT --to-source 109.135.155.145

Нажимаю энтер.

Далее по уму запускаю удаленный рабочий стол стол ввожу туда 109.135.155.145 и конект но ничего не работает.

Пожалуйста помогите лаймеру что я не так делаю ?

0
dyug - 26 Ноябрь, 2013 - 16:17

#iptables -t nat -A POSTROUTING -s 192.168.2.55/32 -d 195.128.xx.xx/32 -o eth1 -j SNAT --to-source 85.xxx.xxx.xxx
iptables -t nat -A PREROUTING -p tcp -s 195.128.xxx.xxx/32 -d 85.xxx.xxx.xxx --dport 3389 -j DNAT --to-destination 192.168.2.55:3389
iptables -t nat -A POSTROUTING -s 192.168.2.55/32 -d 0/0 -o eth1 -j SNAT --to-source 85.xxx.xxx.xxx

Вот такая у меня система некоторое время работала.
Собственно - первая строчка не обязательна, она и закоменчена. ибо перекрывается третьей.
Во второй строчке - прием пакетов разрешен только с оного адреса. "-s 195.128.xxx.xxx/32" можно заменить на -s 0/0
Третья - предоставляет доступ в инет этой машине, минуя прокси, и обратку для второй строчки

НАСТОЯТЕЛЬНО рекомендую использовать первую и вторую строки, используя адреса получателя, если, конечно не сильно интересен слив информации на сторону с этого сервера 1С. как я помню сервер для бухгалтерского учета. :-)

Если мне не изменяет память(как мне помнится) , то твоих строках нет имени внешнего интерфейса, а без него, как мне помнится, оно не работало.

ах да: данный фрагмент был в последний раз исправлялся
ls -l vnc.*
-rwxr-xr-x 1 root root 8005 Ноя 17  2008 vnc.sh

так что - именно "как мне помнится" :-)

0
Flameflower - 27 Ноябрь, 2013 - 07:42
Изображение пользователя Flameflower.

dyug , а можно вопросик?
Зачем указывать -d 0/0 в цепочке POSTROUTING, если у тебя указан явно -o eth1 ?
Решение о маршрутизации принято и трафик явно уйдет через eth1.
IMHO, в твоем случае конструкция -d 0/0 - избыточна.

0
dyug - 27 Ноябрь, 2013 - 11:18

на самом деле, наверное не нужен, но я уже точно не помню, какие то склерозы пробиваются...:-)
помню, что были проблемы при НЕуказании интерфейса
Но что и как - не помню.

0
Владимир666 - 26 Ноябрь, 2013 - 16:19
Изображение пользователя Владимир666.

Вот такой лог теперь

Пользуемся CL для длинных логов!

0
dyug - 26 Ноябрь, 2013 - 16:40

Ню, ню, ню.
у тебя во первых есть двойное перенаправление, во вторых дубли.
убери.
и перегрузись.
1. двойное перенаправление
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.200:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899

2. повторы
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 13107 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16

3. фрагмент неработоспособный, вообще убрать на....

-A POSTROUTING -d 10.0.0.200/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145

ошибка заключается в том, что дпорт здесь не должен вообще находиться.
ибо клиент на этом порту вообще никогда ничего не слушает, на этом порту живет только сервер.
Ну и повторы тоже могут привносить свои радости.

Заодно, есть у меня такое мнение, половина, если не больше, всего что тут есть - является ерундой и зарплатой специОлистов по безопасности, как показывает моя практика.
-A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3899 -j ACCEPT
-A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j LOG
-A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j ACCEPT

убрать на..... :-)
ибо может только помешать.
Я бы рекомендовал закоментить весь этот шлак, и оставить минимальную конфигурацию.

0
Владимир666 - 26 Ноябрь, 2013 - 16:44
Изображение пользователя Владимир666.

Я повторюсь я ламер в убунту 3й день работаю с ней - учусь спасибо вам за помощь огромное !

ТОЕСТЬ как я понял мне нужно вставить следующие в клиент putty:

-A POSTROUTING -d 10.0.0.200/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145

и нажать энтер и будет мне счастье ?

0
Mike - 26 Ноябрь, 2013 - 16:50
Изображение пользователя Mike.

мнэээ... можно развернуто описать логику, по которой иптабля будет все входящие запросы, идущие на РДП-порт, будет заворачивать сразу на два адреса назначения? Ну и, опять же, зачем команду
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 нужно отрабатывать 5 раз? Типа иптабля глупая и с первого раза не понимает?
Кроме того, если ты "ламер и в убунту 3 день", то зачем тебе вообще вникать в iptables-save? Учись разруливать иптаблю скриптом.

0
Владимир666 - 26 Ноябрь, 2013 - 16:53
Изображение пользователя Владимир666.

Можно мне как совсем тупому разжувать какие конкретно команды мне выполнить после которых может все заработает ? БУДУ ОЧЕНЬ БЛАГОДАРЕН

0
Владимир666 - 26 Ноябрь, 2013 - 17:01
Изображение пользователя Владимир666.

Скриптом я боюсь совсем все угробить, все что до меня настроено было, так как потом мне 99% не поднять все это будет назад. В теории все просто а на практике никак :)

0
Mike - 26 Ноябрь, 2013 - 17:11
Изображение пользователя Mike.

срочно изучай матчасть!

0
Mike - 26 Ноябрь, 2013 - 17:07
Изображение пользователя Mike.

если у тебя по дефолту иптабля работает и изнутри все пашет как часы, то сделать тебе надо всего лишь одно:
iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
И все. Больше ничего делать не надо.

0
Владимир666 - 26 Ноябрь, 2013 - 17:15
Изображение пользователя Владимир666.

Спасибо огромное вам ! а перегружать не надо сервак будет ?

0
Mike - 26 Ноябрь, 2013 - 17:16
Изображение пользователя Mike.

ни в коем разе. если перезагрузишь, то потом эту команду придется снова делать =)

0
Владимир666 - 26 Ноябрь, 2013 - 17:18
Изображение пользователя Владимир666.

Мои действия такие примерно:

Захожу по ssh - Putty root - пароль ввожу

Копирую команду эту вставляю туда нажимаю энтер,
и теперь если все там нормально то раб.стол должен будет конектится ?

0
Владимир666 - 26 Ноябрь, 2013 - 17:32
Изображение пользователя Владимир666.

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

Сделал что-то не помогает не знаю даже.

0
Mike - 26 Ноябрь, 2013 - 17:34
Изображение пользователя Mike.

значит, дело не в прероутинге, а в чем-то другом. Потому как прероутинг правильный.

0
Владимир666 - 26 Ноябрь, 2013 - 17:39
Изображение пользователя Владимир666.

Тоесть проброс портов нормально сделал - от сервера Ubuntu отстать можно ?
Ping туда проходит на белый айпишник именно, может быть выделывается сама МАШИНА в локалке 10.1.1.16 так как на ней windows 2008 Server стоит может ещё там чтото надо настроить - хотя в локалке на неё конектятся на уд.раб.стол.

0
Mike - 26 Ноябрь, 2013 - 17:43
Изображение пользователя Mike.

все может быть.

0
dyug - 26 Ноябрь, 2013 - 18:27

эгэ... опять таки, здесь грабля!
PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
принимаем на адрес 109.135.155.145 с портом 3389 и заворачиваем на 10.1.1.16:3899
после чего наступаем на граблю
POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
Внимание описываю путь: ибо после приема (POSTROUTING), на адрес 10.1.1.16 с портом 3389 мы это все заворачиваем на 109.135.155.145
И куда оно попадет, по твоему? :-)
пойдет на очередное кольцо? :-)

0
Mike - 26 Ноябрь, 2013 - 19:31
Изображение пользователя Mike.

А почему ты это пишешь мне? я нигде про указаный построутинг не говорил =)

0
dyug - 27 Ноябрь, 2013 - 11:20

ты ее упомянул, и я решил уточнить именно у тебя. Понятно, что автор поста не знает и не понимает, зачем это нужно,..

0
Владимир666 - 26 Ноябрь, 2013 - 18:28
Изображение пользователя Владимир666.

А как сделать то нужно ?

0
Владимир666 - 26 Ноябрь, 2013 - 18:30
Изображение пользователя Владимир666.

я там понимаю все идет по кругу ? подключатся никак не хочет, так вот как этот круг разорвать ?(

0
dyug - 26 Ноябрь, 2013 - 18:39

понимаешь ли, я очень давно не пользовался iptables-save и я не помню его организации.
но наличие дублирующих строк, и строк с явными ошибками - меня сильно смущает.

Как я помню, он создает отдельный файл, где хранит все рулесеты, и его нужно найти.
Боюсь, ты выполнив команду [email protected]:~# sudo iptables-save сохранил неправильные рулесеты.
теперь нужно найти место хранения, и увидеть содержимое этого файла
там как раз и должны быть эти строки "-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899"

0
Владимир666 - 26 Ноябрь, 2013 - 18:44
Изображение пользователя Владимир666.

получается мне искать Ipconfig.php и чистить его наглухо ?

0
Владимир666 - 26 Ноябрь, 2013 - 18:48
Изображение пользователя Владимир666.

найду допустим этот файл удалю из него все выше перечисленное, то юзать команду снова :

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

0
Mike - 26 Ноябрь, 2013 - 19:34
Изображение пользователя Mike.

ipconfig.php - это что? это зачем?

0
Гость - 27 Ноябрь, 2013 - 05:16

А как называется файл который историю табли этой хранит ?

0
Mike - 27 Ноябрь, 2013 - 06:36
Изображение пользователя Mike.

увы, телепатов, способных посредством Волшебства определить, куда и что выгружается у каждого конкретного спрашивающего, на форуме нет.

0
Владимир666 - 27 Ноябрь, 2013 - 07:13
Изображение пользователя Владимир666.

/etc/sysconfig/iptables только как сюда попасть никак не пойму ?
и такой вопрос если я все же залезу то все правила впринципе можно убить ?

0
Владимир666 - 27 Ноябрь, 2013 - 07:23
Изображение пользователя Владимир666.

ЧТО вообще по идее должно быть прописано в файле iptables что-бы из сетки был выход в интернет и при обращении к белому айпишнику попадали на конкретную машину в сетке ?

0
Владимир666 - 27 Ноябрь, 2013 - 07:39
Изображение пользователя Владимир666.

Получается сбросить я могу все правила даже без файла при помощи команды, но тогда у меня получается интернет упадет ?

0
Mike - 27 Ноябрь, 2013 - 07:43
Изображение пользователя Mike.

просто перезагрузи роутер, а потом выполни в консоли команду с прероутингом, которую я давал выше. Один раз.

0
Mike - 27 Ноябрь, 2013 - 07:45
Изображение пользователя Mike.

попасть туда - посредством mc, запущеным от рута.
Да, убить все правила там можно. Но зачем? Было бы больше пользы, если их попытаться понять.

0
Владимир666 - 27 Ноябрь, 2013 - 07:53
Изображение пользователя Владимир666.

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

тоесть эта команда ?

у меня ещё такой вопрос Gnokii сервис отправки смс заглючил из за настроек табли может быть работает работает бах вырубится и до перезапуска...

0
Владимир666 - 27 Ноябрь, 2013 - 07:56
Изображение пользователя Владимир666.

Перезагрузил сервак, ввел команду : iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

ничего к сожелению, не вызвано это тем что я вчера вводил sudo save ?

0
Mike - 27 Ноябрь, 2013 - 10:54
Изображение пользователя Mike.

вполне может быть, что был засейвлен уже глючный конфиг.

0
Владимир666 - 27 Ноябрь, 2013 - 10:56
Изображение пользователя Владимир666.

я сэйвил но не ресторил ведь его поэтому не может быть + я перезагружал сервер значит настройки слетали.

0
Mike - 27 Ноябрь, 2013 - 12:04
Изображение пользователя Mike.

если ты сейфил, то после ребута настройки всплыли из криво засейвленного сейва.

0
Владимир666 - 27 Ноябрь, 2013 - 12:08
Изображение пользователя Владимир666.

Я это все понимаю, понимаю что где то чтото случилось и не так работает, вопрос в другом как сейчас открыть этот долбаный порт )

0
Mike - 27 Ноябрь, 2013 - 13:02
Изображение пользователя Mike.

"Обратитесь к вашему системному администратору" (с)
=)

0
Владимир666 - 27 Ноябрь, 2013 - 13:04
Изображение пользователя Владимир666.

Ага спасибо :)

0
Flameflower - 27 Ноябрь, 2013 - 07:53
Изображение пользователя Flameflower.

Владимир666, у вас паронаидально настроен firewall.
Более того - выглядит как некий скрипт автонастройки.
Более того - выставлена политика DROP
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

Т.е. помимо правил в таблице NAT, цепочки PREROUTING так же потребуется прописать разрешающие правило в таблец FILTER, цепочке FORWARD.
К примеру как это реализовано у меня:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
iptables -A FORWARD -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT

Что эти правила означают?
Первым правилом мы говорим маршрутизатору, что трафик пришедший на интерфейс ppp0, по протоколу tcp на порт назначения 3389 нам необходимо отправить на адрес 192.168.1.2 и тот же самый порт назначения.
Вторым правилом мы разрешаем транзитный трафик с адреса 76.54.32.10 на 192.168.1.2 опять же по протоколу tcp на порт назначения 3389.

0
Владимир666 - 27 Ноябрь, 2013 - 08:00
Изображение пользователя Владимир666.

Сейчас попробую спасибо.

0
Владимир666 - 27 Ноябрь, 2013 - 08:08
Изображение пользователя Владимир666.

теперь мой ifconfig выглядит так:

CALL0: IDLE
CALL1: IDLE
RFLevel: 12
Battery: 96
Power Source: Battery
FD: Used 0, Free 6
LD: Used 0, Free 10
MC: Used 5, Free 5
CALL0: IDLE
CALL1: IDLE
RFLevel: 12
Battery: 96
Power Source: Battery
DC: Used 0, Free 10
FD: Used 0, Free 6
MC: Used 5, Free 5
^Z
[3]+ Stopped gnokii --monitor
[email protected]:~# PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
PREROUTING: command not found
[email protected]:~# iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
[email protected]:~# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
[email protected]:~# iptables -A FORWARD -s 109.135.155.145 -d 10.1.1.16 -p tcp --dport 3389 -j ACCEPT
[email protected]:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:48:42:e0:90
inet6 addr: fe80::280:48ff:fe42:e090/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:872163 errors:0 dropped:0 overruns:0 frame:0
TX packets:547793 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:966611876 (966.6 MB) TX bytes:72348069 (72.3 MB)

eth1 Link encap:Ethernet HWaddr 64:70:02:13:0d:1c
inet addr:10.1.1.2 Bcast:10.1.1.255 Mask:255.255.255.0
inet6 addr: fe80::6670:2ff:fe13:d1c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:649795 errors:0 dropped:1 overruns:0 frame:0
TX packets:888729 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:80111709 (80.1 MB) TX bytes:973934305 (973.9 MB)

eth1:0 Link encap:Ethernet HWaddr 64:70:02:13:0d:1c
inet addr:10.1.1.254 Bcast:10.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:7712 errors:0 dropped:0 overruns:0 frame:0
TX packets:7712 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1096995 (1.0 MB) TX bytes:1096995 (1.0 MB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:109.135.155.145 P-t-P:109.195.128.69 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:871956 errors:0 dropped:0 overruns:0 frame:0
TX packets:547364 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:947413908 (947.4 MB) TX bytes:60214641 (60.2 MB)

[email protected]:~#

0
Владимир666 - 27 Ноябрь, 2013 - 08:08
Изображение пользователя Владимир666.

Может все правильно теперь и я тупо из за своей сетки не могу подключится нет ?)))

0
Владимир666 - 27 Ноябрь, 2013 - 08:28
Изображение пользователя Владимир666.

может есть какая то команда чтобы посмотреть конфиг IPtables и уже по тому что там имеется мне ктото-бы помог настроить ?

0
Владимир666 - 27 Ноябрь, 2013 - 08:39
Изображение пользователя Владимир666.

Пользуемся CL!

0
Flameflower - 27 Ноябрь, 2013 - 10:24
Изображение пользователя Flameflower.

iptables -nvL
iptables -nvL -t nat
В студию.
Хотя вывод iptables-save тоже сойдет, но первые 2 варианта более наглядны. :)

0
Владимир666 - 27 Ноябрь, 2013 - 10:38
Изображение пользователя Владимир666.

ВОТ

[email protected]:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 3588 packets, 245K bytes)
pkts bytes target prot opt in out source destination
273K 20M NAT_PREROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
273K 20M POST_NAT_PREROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
16 776 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389

Chain INPUT (policy ACCEPT 276 packets, 16887 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 186 packets, 12828 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 187 packets, 12876 bytes)
pkts bytes target prot opt in out source destination
56439 2901K TCPMSS tcp -- * ppp+ 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x02 TCPMSS clamp to PMTU
126K 10M NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
116K 9701K MASQUERADE all -- * ppp+ 10.1.1.0/24 !10.1.1.0/24
10402 723K POST_NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain POST_NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain POST_NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
[email protected]:~#

0
Flameflower - 27 Ноябрь, 2013 - 10:45
Изображение пользователя Flameflower.

Уважаемый, не надо здесь выкладывать стену текста.
Пользуйтесь тегом CL (Collapse).
P.S. А что за убунта такая стоит, что столько правил в фаерволе нагорожено?
Откуда бралась первоначальная настройка?

0
Владимир666 - 27 Ноябрь, 2013 - 10:54
Изображение пользователя Владимир666.

Извеняюсь за стену текста не правильно скопировал - Поправил, настраивал изначально не я и как настраивали не знаю того человека сейчас нет, я сам ничего не понимаю в настройке. Ubuntu 13.04

ВОТ

0
Flameflower - 27 Ноябрь, 2013 - 11:32
Изображение пользователя Flameflower.

Посидел, повкуривал в скрипт запуска правил.
IMHO, либо это какой то гламурный сетевой экранчик на базе бубунты с гламурными отчетиками, графиками и еще чем то. Либо это красноглазый админ, который "курит" эти логи каждый день.
Хотя, конечно, дело каждого. На мой взгляд некоторые моменты можно опустить.
Попробуй сделать так, но только вместо ip адресов пропиши адреса и названия интерфейсов:
iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
iptables -t filter --insert FORWARD 1 -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT

0
Владимир666 - 27 Ноябрь, 2013 - 11:40
Изображение пользователя Владимир666.

пропиши адреса и названия интерфейсов: это как ? простите тормоза но я не понимаю

0
Владимир666 - 27 Ноябрь, 2013 - 11:54
Изображение пользователя Владимир666.

iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp  109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
iptables -t filter --insert FORWARD 1 -s 109.135.155.145 -d 10.1.1.16 -p tcp 109.135.155.145 --dport 3389 -j ACCEPT

ТАК ?

0
Владимир666 - 27 Ноябрь, 2013 - 12:02
Изображение пользователя Владимир666.

Может есть смысл вообще отключить этот файрвол, но опять тогда как порты пробросить без него ?

0
Finist - 27 Ноябрь, 2013 - 14:35
Изображение пользователя Finist.

sudo apt-get install rinetd
в /etc/rinetd.conf
вставить строку 109.135.155.145 3389 10.1.1.2 3389
перезапустить демон /sudo /etc/init.d/rinetd restart

0
Flameflower - 27 Ноябрь, 2013 - 12:30
Изображение пользователя Flameflower.

iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp  --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
iptables -t filter --insert FORWARD 1 -i ppp0 -d 10.1.1.16 -p tcp --dport 3389 -j ACCEPT

Вот так попробуй.

0
Владимир666 - 27 Ноябрь, 2013 - 12:45
Изображение пользователя Владимир666.

Всем большущее спасибо !!!!

Flameflower Респект и уважуха. кланяюсь ! ВРОДе работает !

ТОЛЬКО у мня вопрос я тут тысячу компанд делал всетаки какой именно командой пробразывается порт этой последней я так понял мы правила некоторые выключили ????

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
iptables -A FORWARD -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT
это команда перенаправляет/пробрасывает порт ?

+1
Flameflower - 27 Ноябрь, 2013 - 12:55
Изображение пользователя Flameflower.

Я долго "курил" выводы результата команд.
Идет много перенаправлений трафика в кастомные цепочки, причем нет возврата из этих цепочек. И, дабы совсем не погружаться в специфику данных нагромождений я тебе написал команды для iptables, которые осуществляют трансляцию адресов и разрешают пропуск трафика, с одной оговоркой - они идут на первом месте. Т.е. изначально netfilter обработает пакеты по данным правилам, а потом идут твои правила.

Отправить комментарий

CAPTCHA на основе изображений
Введите цифры