Forum Debian Users Gang

blazejwiecha · 2008-08-20 14:44:26

Witam mam zamiar przekierować ruch z Pulpitu zdalnego na win 2003 przez serwer debiana
stworzyłem eth0:1
dodałem

Kod:

iptables -A FORWARD -p tcp --dport 3389 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -m state --state NEW -j ACCEPT

iptables -t nat -A PREROUTING -d 213.17.152.xxx -j DNAT --to 10.10.0.5
iptables -t nat -A POSTROUTING -s 10.10.0.5 -d 0/0 -j SNAT --to-source 213.17.152.xxx

kłopot w tym że nadal nie mogę się dostać na ten pulpit. Centralnie bez debiana działa

djjanek · 2008-08-20 15:48:45

1) czy porty na zdalny pulpit są otware
2) przekieruj porty a nie wszytsko tak najlepiej

blazejwiecha · 2008-08-20 18:08:08

1: tak , inaczej by nie działało centralnie
2: JAK?

djjanek · 2008-08-20 20:44:18

ja bym to zrobił tak:

Kod:

IP_WAN="213.17.152.xxx"
PORT="3389"
IP_ZDALNY="10.10.0.5"

iptables -A FORWARD -p tcp --dport ${PORT} -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d ${IP_WAN} --dport ${PORT} -j DNAT --to ${IP_ZDALNY}:${PORT}
iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

urug · 2008-08-20 20:53:32

a po co SNAT? Co pokazują counterki? iptables -t nat -L PREROUTING -vn
iptables -L -vn

Ostatnio edytowany przez urug (2008-08-20 20:54:13)

djjanek · 2008-08-20 20:55:27

mozesz jeszcze dodac na poczatku

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward

i jak zrobisz poza swoja siecia

Kod:

telnet adres_ip_zewnetrzny 3389

wtedy powinien prubowac nawiazac polaczenie

djjanek · 2008-08-20 20:59:35

SNAT stosuje sie dla stałego adresu IP i jest statycznym NAT

urug · 2008-08-20 21:17:52

Ale jaki to ma związek z tym konkretnie przekierowaniem?

Ostatnio edytowany przez urug (2008-08-20 21:19:41)

djjanek · 2008-08-20 21:22:45

jak nie dasz SNAT to musisz zucic na intefesj a jak masz wirtualny interfejs to iptables bedzie sie plulo, zatem najlepiej jak masz stale IP na IP satem SNAT.

a jak nie dasz

iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

to pakiet wejdzie do 2003 ale nie wyjdzie na świat.

urug · 2008-08-20 21:24:03

Ale będzie działać dalej przekierowanie po tym jednym porcie.

djjanek · 2008-08-20 21:26:19

jakie przekierowanie??

PREROUTING
POSTROUTING

to są dwie różne rzeczy.

urug · 2008-08-20 21:27:01

DNAT =]

djjanek · 2008-08-20 21:29:43

DNAT obsługuje pakiety wchodzące w sieć
SNAT wychodzące na internet

Jak masz rygorytycznego iptables to obsługujesz je odzielnie.

urug · 2008-08-20 21:31:18

Nie jest potrzebny _SNAT_ żeby robić _DNAT_. Co rozumiesz przez rygorystyczne iptables?

djjanek · 2008-08-20 21:34:29

masz zezwolenie tylko na ruch lo a reszte na wstepie blokujesz.

Robiłem kiedyś testy i pakiety dochodziły do kompa prze rouerek z DNAT ale nie wychodziły w świat jak dodałem SNAT zadzialało.

Takie ustawienia stosuje od 3 lat na około 10 serwerach linuxowych i wszystko smiga.

blazejwiecha · 2008-08-21 08:02:37

djjanek napisał(-a):

ja bym to zrobił tak:

Kod:

IP_WAN="213.17.152.xxx"
PORT="3389"
IP_ZDALNY="10.10.0.5"

iptables -A FORWARD -p tcp --dport ${PORT} -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d ${IP_WAN} --dport ${PORT} -j DNAT --to ${IP_ZDALNY}:${PORT}
iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

to mi od razu zablokowało dostęp przez putty do debianka :(

djjanek · 2008-08-21 08:07:59

Możesz wkleic cały skrypt firewall?

blazejwiecha · 2008-08-21 08:21:18

Kod:

#dsl firewall created by Boogie 10 07 2003
#
# wlacz forwardowanie pakietow(mozesz takze w /etc/sysctl.conf)
echo 1 > /proc/sys/net/ipv4/ip_forward
# zaladuj moduly do ftp, analogincznie do irca, tylko z koncowka irc
#modprobe ip_conntrack_irc
#modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_irc

# czysc regolki
iptables -F 
iptables -t nat -F

##iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#####Aktualny squid
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128







#UWAGA tu dopisywalem 
iptables -P INPUT DROP
#iptables -P INPUT ACCEPT

iptables -A INPUT -i ! eth1 -j ACCEPT
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p udp --dport 3389 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j DROP
#iptables -A INPUT -p udp --dport 53 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j DROP


#iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 85 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 10000 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 993 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 143 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 10000 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 993 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 143 -m state --state NEW -j DROP

#port pulpitu zdalnego dla terminalu
#z dwoma hashami odhashowac
##iptables -A FORWARD -p tcp --dport 3389 -m state --state NEW -j ACCEPT
##iptables -A FORWARD -p udp --dport 3389 -m state --state NEW -j ACCEPT

#porty drukarki sieciowej by działały na terminalu#iptables -A FORWARD -p tcp --dport 135 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 135 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 515 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 515 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 9100 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 9100 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 631 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 631 -m state --state NEW -j ACCEPT

#przekierowanie zewnętrznego kompa terminal
##iptables -t nat -A PREROUTING -d 213.17.152.xxx -j DNAT --to 10.10.0.5
##iptables -t nat -A POSTROUTING -s 10.10.0.5 -d 0/0 -j SNAT --to-source 213.17.152xxx
#iptables -t nat -A PREROUTING -p tcp -i eth0:1 --dport 80 -j DNAT --to 10.10.0.5:80
#iptables -t nat -A PREROUTING -p udp -i eth0:1 --dport 80 -j DNAT --to 10.10.0.5:80
#iptables -I FORWARD -p tcp -i eth0:1 --dport 80 -j ACCEPT
#iptables -I FORWARD -p udp -i eth0:1 --dport 80 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d 213.17.152.xxx --dport 3389 -j DNAT --to 10.10.0.5:3389
#iptables -t nat -A POSTROUTING -p tcp -s 10.10.0.5 --sport 3389 -j SNAT --to 213.17.152.xxx:3389
##iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -j ACCEPT
##iptables -A INPUT -p udp --dport 3306 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
#iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable

##testy squida
#iptables -A INPUT -i eth0 -p tcp --src 192.168.0.0/24 --dport 8080 -m state --state NEW -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j DNAT --to-destination 192.168.0.1:8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.1 --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

####PORTY####

#iptables -t nat -A PREROUTING -p tcp --dport 4664 -j DNAT --to 192.168.0.5:4664
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 192.168.0.241:4665

#iptables -t nat -A PREROUTING -p tcp --dport 4663 -j DNAT --to 10.10.0.142:4663
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 10.10.0.142:4665


#iptables -t nat -A PREROUTING -p tcp --dport  7444 -j DNAT --to 192.168.0.100:7444
#iptables -t nat -A PREROUTING -p tcp --dport 4663 -j DNAT --to 192.168.0.241:4663
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 192.168.0.241:4665
#iptables -t nat -A PREROUTING -p udp --dport 4665 -j DNAT --to 192.168.0.241:4665
#iptables -t nat -A PREROUTING -p tcp --dport 6881  -j DNAT --to 192.168.0.98:6881
#iptables -t nat -A PREROUTING -p tcp --dport 6881  -j DNAT --to 192.168.0.98:6881
#iptables -t nat -A PREROUTING -p tcp --dport 1100 -j DNAT --to 192.168.0.6:1100
#iptables -t nat -A PREROUTING -p tcp --dport 1150 -j DNAT --to 192.168.0.10:1150
#iptables -t nat -A PREROUTING -p tcp --dport 1175 -j DNAT --to 192.168.0.3:1175
#iptables -t nat -A PREROUTING -p tcp --dport 1200 -j DNAT --to 192.168.0.9:1200
##Terminal VPN
#iptables -t nat -A PREROUTING -p tcp --dport 1111 -j DNAT --to 192.168.0.207:1111
#iptables -t nat -A PREROUTING -p tcp --dport 1211 -j DNAT --to 192.168.0.207:1111

################################
##BLOKADY_wystarczy_odhashowac
################################
#iptables -t nat -A PREROUTING -s 192.168.0.3 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.4 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.5 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.6 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.7 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.8 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.9 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.10 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.14 -p tcp -j REDIRECT --to-ports 2000
###################
###koniec_blokad###
###################

#serwer plikow boogiego
#iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to 192.168.0.6:9000

#iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.10.0.0/255.0.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.10.0.0/255.20.20.0 -j ACCEPT

# maskarada

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -d 0/0 -j MASQUERADE




#blokowanie gg

#iptables -I FORWARD -p tcp -s 192.168.0.98/32 -d 217.17.41.0/24 -j ACCEPT

##kasia_kotow_blokada

#iptables -I FORWARD -p tcp -s 192.168.0.213/32 -d 217.17.41.0/24 -j DROP


####SQUID TESTY#####

#iptables -A INPUT -i eth0 -p tcp --src 192.168.0.0/24 --dport 8080 -m state --state NEW -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j DNAT --to-destination 192.168.0.1:8080

/sbin/mii-tool -F 10baseT-HD eth0
/sbin/mii-tool -F 10baseT-HD eth1

Już zdążyłem namieszać :( i blokuje całość no i są tam widoczne najróżniejsze metody zahashowane

Niestety mimo wszystko nadal nie działa jak powinno

Ostatnio edytowany przez blazejwiecha (2008-08-25 08:13:36)

blazejwiecha · 2008-09-01 13:56:06

Pomóżcie :)

Forum Debian Users Gang

Ogłoszenie

#1 2008-08-20 14:44:26

blazejwiecha - Użytkownik

przekierowanie win 2003 przez debiana

Kod:

#2 2008-08-20 15:48:45

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#3 2008-08-20 18:08:08

blazejwiecha - Użytkownik

Re: przekierowanie win 2003 przez debiana

#4 2008-08-20 20:44:18

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

Kod:

#5 2008-08-20 20:53:32

urug - Członek DUG

Re: przekierowanie win 2003 przez debiana

#6 2008-08-20 20:55:27

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

Kod:

Kod:

#7 2008-08-20 20:59:35

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#8 2008-08-20 21:17:52

urug - Członek DUG

Re: przekierowanie win 2003 przez debiana

#9 2008-08-20 21:22:45

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#10 2008-08-20 21:24:03

urug - Członek DUG

Re: przekierowanie win 2003 przez debiana

#11 2008-08-20 21:26:19

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#12 2008-08-20 21:27:01

urug - Członek DUG

Re: przekierowanie win 2003 przez debiana

#13 2008-08-20 21:29:43

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#14 2008-08-20 21:31:18

urug - Członek DUG

Re: przekierowanie win 2003 przez debiana

#15 2008-08-20 21:34:29

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#16 2008-08-21 08:02:37

blazejwiecha - Użytkownik

Re: przekierowanie win 2003 przez debiana

djjanek napisał(-a):

Kod:

#17 2008-08-21 08:07:59

djjanek - Użytkownik

Re: przekierowanie win 2003 przez debiana

#18 2008-08-21 08:21:18

blazejwiecha - Użytkownik

Re: przekierowanie win 2003 przez debiana

Kod:

#19 2008-09-01 13:56:06

blazejwiecha - Użytkownik

Re: przekierowanie win 2003 przez debiana

Stopka forum