Удалённый доступ к Windows через iptables

Конфигурирование IPTABLES (Установка, настройка IPTABLES, Маскарадинг, Firewall)
Ответить
gangabass
Сообщения: 2
Зарегистрирован: 12 янв 2009, 06:47

Удалённый доступ к Windows через iptables

Сообщение gangabass » 12 янв 2009, 06:51

Необходимо разрешить доступ к одной из Windows машин в локальной сети.
Сеть подключена к Интернету через машину с ASPLinux.

В iptables выставил вот это:

Код: Выделить всё

-A PREROUTING -d наш.внешний.ip.адрес -p tcp -m multiport --dport 3389 -j DNAT --to-destination 192.168.0.1 
-A POSTROUTING -s 192.168.0.1 -j SNAT --to-source наш.внешний.ip.адрес 

-A FORWARD -d 192.168.0.1 -p tcp -m multiport --dport 3389 -j ACCEPT 
-A FORWARD -s 192.168.0.1 -j ACCEPT 

-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Вот что выдаёт команда iptables -L -n:

Код: Выделить всё

Chain INPUT (policy ACCEPT)
target prot opt source destination 
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 

Chain FORWARD (policy ACCEPT)
target prot opt source destination 
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT tcp -- 0.0.0.0/0 192.168.0.1 multiport dports 3389 
ACCEPT all -- 192.168.0.1 0.0.0.0/0 
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT)
target prot opt source destination 

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:10000 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137 
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2227 
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2228 
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 
Форвардинг включён.
Но это не работает :-(. Подскажите в чём может быть дело? Нужно ли открывать этот порт (3389) в system-config-securitylevel?

gangabass
Сообщения: 2
Зарегистрирован: 12 янв 2009, 06:47

Re: Удалённый доступ к Windows через iptables

Сообщение gangabass » 13 янв 2009, 06:10

На самом деле всё немного сложнее (каюсь, что не посчитал это важным сразу же):
1. К Интернету подключён ADSL-модем. Он и получает IP-адрес.
2. ADSL-модем выдаёт адрес одному из интерфейсов машины-шлюза (eth1, 192.168.1.4)
3. Второй интерфейс машины-шлюза имеет внутренний адрес (192.168.0.22).
4. Нужно организовать удалённый доступ к машине во внутренней сети с адресом 192.168.0.1 (при этом сейчас есть правила, позволяющие ей выходить в Интернет напрямую, в обход прокси сервера).

katochimoto
Сообщения: 1
Зарегистрирован: 14 сен 2009, 08:45

Re: Удалённый доступ к Windows через iptables

Сообщение katochimoto » 14 сен 2009, 08:52

Проверь в данном файле

Код: Выделить всё

/proc/sys/net/ipv4/ip_forward
прописана 1, если нет то и не будет доступа. Данная настройка указывает компьютеру выступать в роле маршрутизатора, т.е. передавать пакеты ч/з себя другим компьютерам в сети.

Ответить