Удалённый доступ к Windows через iptables

Автор: Kinjo Дата: 11.01.2009 09:28 Необходимо разрешить доступ к одной из Windows машин в локальной сети.
Сеть подключена к Интернету через машину с ASPLinux.

В iptables выставил вот это:
-A PREROUTING -d наш.внешний.ip.адрес -p tcp -m multiport --dport 3389 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -s 192.168.0.1 -j SNAT --to-source наш.внешний.ip.адрес

-A FORWARD -d 192.168.0.1 -p tcp -m multiport --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.1 -j ACCEPT

-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Но это не работает Грустный. Подскажите в чём может быть дело? Нужно ли открывать этот порт (3389) в system-config-securitylevel?
Re: Удалённый доступ к Windows через iptables 11.01.2009 09:59BigAndy >Но это не работает Грустный
Как именно не работает?
И как вы считали, что должно это работать?
Re: Удалённый доступ к Windows через iptables 11.01.2009 11:11Kinjo Я не могу подключиться к этой машине. Пробую через стандартное "Подключение к удалённому рабочему столу". Указываю ip-адрес машины-шлюза. Получаю ошибку по таймауту.

При этом из внутренней сети прекрасно подключаюсь к этой машине.
Re: Удалённый доступ к Windows через iptables 11.01.2009 12:10BigAndy Ну, как вы собрались проникнуть во внутреннюю сеть, если у вас NAT??? А политика по умполчанию -drop и reject?
Если вам надо подключиться все-таки не к машинам внутренней сети,а к шлюзу, то поерделите, по какому порту вы это хотите слделать (не факт, что на вашем шлюзе поднят VNC/RDP

Судя по вопросам, чтобы не колдовать, установите firestarter И попытайтесь настроить "проброс потров" с его помощью.

А вообще наиболее удачное руководство на iptables.ru и iptables-tutorial
Re: Удалённый доступ к Windows через iptables 13.01.2009 03:09Kinjo На самом деле всё немного сложнее (каюсь, что не посчитал это важным сразу же):
1. К Интернету подключён ADSL-модем. Он и получает IP-адрес.
2. ADSL-модем выдаёт адрес одному из интерфейсов машины-шлюза (eth1, 192.168.1.4)
3. Второй интерфейс машины-шлюза имеет внутренний адрес (192.168.0.22).
4. Нужно организовать удалённый доступ к машине во внутренней сети с адресом 192.168.0.1 (при этом сейчас есть правила, позволяющие ей выходить в Интернет напрямую, в обход прокси сервера).
Re: Удалённый доступ к Windows через iptables 13.01.2009 07:22blH, Тогда совсем другое дело. Поскольку настраивать фаервол и открывать доступ к вин-машине Вам придётся именно в этом модеме.
Re: Удалённый доступ к Windows через iptables 13.01.2009 07:58BigAndy >4. Нужно организовать удалённый доступ к машине во внутренней сети с адресом 192.168.0.1 (при этом сейчас есть правила, позволяющие ей выходить в Интернет напрямую, в обход прокси сервера).
А причем тут прокси сервер?
Тогда настраивайте портфорвардинг средствами самого роутера (надеюсь, у вас ADSL с роутером?) Собственно АДСЛ модем - это такая же машинка с линуксом или фрей.
И потом, вам надо получитьпомощь? ЧТо из вас пиходится вытаскивать информацию клещами?
Re: Удалённый доступ к Windows через iptables 13.01.2009 10:04Kinjo Во-первых, спасибо за Ваши ответы. Помощь мне действительно нужна.

О прокси-сервере я написал для того, чтобы было понятно откуда берутся некоторые правила. Все машины из внутренней сети подключаются к Интернет только через прокси (он работает на той же машине-шлюзе 192.168.0.22), но некоторым разрешено подключаться напрямую.

Буду разбираться с модемом тогда.
Re: Удалённый доступ к Windows через iptables 14.01.2009 15:34MoonChild я не великий гуру но по подсказкам на этом же форуме сделал так:
/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3393 -j DNAT --to-destination 192.168.19.2:3389
/sbin/iptables -t nat -A POSTROUTING -p tcp -o ppp0 --sport 3393 -s 192.168.19.2 -j MASQUERADE

соответственно при подключениее по RDP пишете в поле хост:"внешнийайпи:3393"
но учтите что в данном случае маскарадинг позволяет подключаться с любого айпи.
Re: Удалённый доступ к Windows через iptables 14.01.2009 16:49Kinjo Спасибо за совет. Проблема решена.
Всё дело было в этом правиле:
-A PREROUTING -d 192.168.1.4 -p tcp -m multiport --dport 3389 -j DNAT --to-destination 192.168.0.1

У меня первоначально неверно был указан внешний IP-адрес, а нужно было указывать IP-адрес интерфейса, получаемый от модема (192.168.1.4).

Спасибо всем, кто помогал.
RSS-материал