Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-08-20 14:44:26

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

przekierowanie win 2003 przez debiana

Witam mam zamiar przekierować ruch z Pulpitu zdalnego na win 2003 przez serwer debiana
stworzyłem eth0:1
dodałem

Kod:

iptables -A FORWARD -p tcp --dport 3389 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -m state --state NEW -j ACCEPT

iptables -t nat -A PREROUTING -d 213.17.152.xxx -j DNAT --to 10.10.0.5
iptables -t nat -A POSTROUTING -s 10.10.0.5 -d 0/0 -j SNAT --to-source 213.17.152.xxx

kłopot w tym że nadal nie mogę się dostać na ten pulpit. Centralnie bez debiana działa


Linux Registered user #386246

Offline

 

#2  2008-08-20 15:48:45

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

1) czy porty na zdalny pulpit są otware
2) przekieruj porty a nie wszytsko tak najlepiej

Offline

 

#3  2008-08-20 18:08:08

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: przekierowanie win 2003 przez debiana

1: tak , inaczej by nie działało centralnie
2: JAK?


Linux Registered user #386246

Offline

 

#4  2008-08-20 20:44:18

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

ja bym to zrobił tak:

Kod:

IP_WAN="213.17.152.xxx"
PORT="3389"
IP_ZDALNY="10.10.0.5"

iptables -A FORWARD -p tcp --dport ${PORT} -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d ${IP_WAN} --dport ${PORT} -j DNAT --to ${IP_ZDALNY}:${PORT}
iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

Offline

 

#5  2008-08-20 20:53:32

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: przekierowanie win 2003 przez debiana

a po co SNAT? Co pokazują counterki? iptables -t nat -L PREROUTING -vn
iptables -L -vn

Ostatnio edytowany przez urug (2008-08-20 20:54:13)


Pozdrawiam, Tomek

Offline

 

#6  2008-08-20 20:55:27

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

mozesz jeszcze dodac na poczatku

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward

i jak zrobisz poza swoja siecia

Kod:

telnet adres_ip_zewnetrzny 3389

wtedy powinien prubowac nawiazac polaczenie

Offline

 

#7  2008-08-20 20:59:35

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

SNAT stosuje sie dla stałego adresu IP i jest statycznym NAT

Offline

 

#8  2008-08-20 21:17:52

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: przekierowanie win 2003 przez debiana

Ale jaki to ma związek z tym konkretnie przekierowaniem?

Ostatnio edytowany przez urug (2008-08-20 21:19:41)


Pozdrawiam, Tomek

Offline

 

#9  2008-08-20 21:22:45

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

jak nie dasz SNAT to musisz zucic na intefesj a jak masz wirtualny interfejs to iptables bedzie sie plulo, zatem najlepiej jak masz stale IP na IP satem SNAT.

a jak nie dasz

iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

to pakiet wejdzie do 2003 ale nie wyjdzie na świat.

Offline

 

#10  2008-08-20 21:24:03

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: przekierowanie win 2003 przez debiana

Ale będzie działać dalej przekierowanie po tym jednym porcie.


Pozdrawiam, Tomek

Offline

 

#11  2008-08-20 21:26:19

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

jakie przekierowanie??

PREROUTING
POSTROUTING

to są dwie różne rzeczy.

Offline

 

#12  2008-08-20 21:27:01

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: przekierowanie win 2003 przez debiana

DNAT =]


Pozdrawiam, Tomek

Offline

 

#13  2008-08-20 21:29:43

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

DNAT obsługuje pakiety wchodzące w sieć
SNAT wychodzące na internet

Jak masz rygorytycznego iptables to obsługujesz je odzielnie.

Offline

 

#14  2008-08-20 21:31:18

  urug - Członek DUG

urug
Członek DUG
Skąd: Częstochowa
Zarejestrowany: 2008-04-22
Serwis

Re: przekierowanie win 2003 przez debiana

Nie jest potrzebny _SNAT_ żeby robić _DNAT_. Co rozumiesz przez rygorystyczne iptables?


Pozdrawiam, Tomek

Offline

 

#15  2008-08-20 21:34:29

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

masz zezwolenie tylko na ruch lo a reszte na wstepie blokujesz.

Robiłem kiedyś testy i pakiety dochodziły do kompa prze rouerek z DNAT ale nie wychodziły w świat jak dodałem SNAT zadzialało.

Takie ustawienia stosuje od 3 lat na około 10 serwerach linuxowych i wszystko smiga.

Offline

 

#16  2008-08-21 08:02:37

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: przekierowanie win 2003 przez debiana

djjanek napisał(-a):

ja bym to zrobił tak:

Kod:

IP_WAN="213.17.152.xxx"
PORT="3389"
IP_ZDALNY="10.10.0.5"

iptables -A FORWARD -p tcp --dport ${PORT} -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d ${IP_WAN} --dport ${PORT} -j DNAT --to ${IP_ZDALNY}:${PORT}
iptables -t nat -A POSTROUTING -p tcp -s ${IP_ZDALNY} --sport ${PORT} -j SNAT --to ${IP_WAN}:${PORT}

to mi od razu zablokowało dostęp przez putty do debianka :(


Linux Registered user #386246

Offline

 

#17  2008-08-21 08:07:59

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: przekierowanie win 2003 przez debiana

Możesz wkleic cały skrypt firewall?

Offline

 

#18  2008-08-21 08:21:18

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: przekierowanie win 2003 przez debiana

Kod:

#dsl firewall created by Boogie 10 07 2003
#
# wlacz forwardowanie pakietow(mozesz takze w /etc/sysctl.conf)
echo 1 > /proc/sys/net/ipv4/ip_forward
# zaladuj moduly do ftp, analogincznie do irca, tylko z koncowka irc
#modprobe ip_conntrack_irc
#modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_irc

# czysc regolki
iptables -F 
iptables -t nat -F

##iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#####Aktualny squid
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128







#UWAGA tu dopisywalem 
iptables -P INPUT DROP
#iptables -P INPUT ACCEPT

iptables -A INPUT -i ! eth1 -j ACCEPT
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p udp --dport 3389 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 25 -m state --state NEW -j DROP
#iptables -A INPUT -p udp --dport 53 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j DROP


#iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 85 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 10000 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 993 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 143 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp --dport 110 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 10000 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 993 -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --dport 143 -m state --state NEW -j DROP

#port pulpitu zdalnego dla terminalu
#z dwoma hashami odhashowac
##iptables -A FORWARD -p tcp --dport 3389 -m state --state NEW -j ACCEPT
##iptables -A FORWARD -p udp --dport 3389 -m state --state NEW -j ACCEPT

#porty drukarki sieciowej by działały na terminalu#iptables -A FORWARD -p tcp --dport 135 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 135 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 515 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 515 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 9100 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 9100 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp --dport 631 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp --dport 631 -m state --state NEW -j ACCEPT

#przekierowanie zewnętrznego kompa terminal
##iptables -t nat -A PREROUTING -d 213.17.152.xxx -j DNAT --to 10.10.0.5
##iptables -t nat -A POSTROUTING -s 10.10.0.5 -d 0/0 -j SNAT --to-source 213.17.152xxx
#iptables -t nat -A PREROUTING -p tcp -i eth0:1 --dport 80 -j DNAT --to 10.10.0.5:80
#iptables -t nat -A PREROUTING -p udp -i eth0:1 --dport 80 -j DNAT --to 10.10.0.5:80
#iptables -I FORWARD -p tcp -i eth0:1 --dport 80 -j ACCEPT
#iptables -I FORWARD -p udp -i eth0:1 --dport 80 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d 213.17.152.xxx --dport 3389 -j DNAT --to 10.10.0.5:3389
#iptables -t nat -A POSTROUTING -p tcp -s 10.10.0.5 --sport 3389 -j SNAT --to 213.17.152.xxx:3389
##iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -j ACCEPT
##iptables -A INPUT -p udp --dport 3306 -m state --state NEW -j ACCEPT

#iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
#iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable

##testy squida
#iptables -A INPUT -i eth0 -p tcp --src 192.168.0.0/24 --dport 8080 -m state --state NEW -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j DNAT --to-destination 192.168.0.1:8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.1 --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

####PORTY####

#iptables -t nat -A PREROUTING -p tcp --dport 4664 -j DNAT --to 192.168.0.5:4664
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 192.168.0.241:4665

#iptables -t nat -A PREROUTING -p tcp --dport 4663 -j DNAT --to 10.10.0.142:4663
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 10.10.0.142:4665


#iptables -t nat -A PREROUTING -p tcp --dport  7444 -j DNAT --to 192.168.0.100:7444
#iptables -t nat -A PREROUTING -p tcp --dport 4663 -j DNAT --to 192.168.0.241:4663
#iptables -t nat -A PREROUTING -p tcp --dport 4665 -j DNAT --to 192.168.0.241:4665
#iptables -t nat -A PREROUTING -p udp --dport 4665 -j DNAT --to 192.168.0.241:4665
#iptables -t nat -A PREROUTING -p tcp --dport 6881  -j DNAT --to 192.168.0.98:6881
#iptables -t nat -A PREROUTING -p tcp --dport 6881  -j DNAT --to 192.168.0.98:6881
#iptables -t nat -A PREROUTING -p tcp --dport 1100 -j DNAT --to 192.168.0.6:1100
#iptables -t nat -A PREROUTING -p tcp --dport 1150 -j DNAT --to 192.168.0.10:1150
#iptables -t nat -A PREROUTING -p tcp --dport 1175 -j DNAT --to 192.168.0.3:1175
#iptables -t nat -A PREROUTING -p tcp --dport 1200 -j DNAT --to 192.168.0.9:1200
##Terminal VPN
#iptables -t nat -A PREROUTING -p tcp --dport 1111 -j DNAT --to 192.168.0.207:1111
#iptables -t nat -A PREROUTING -p tcp --dport 1211 -j DNAT --to 192.168.0.207:1111

################################
##BLOKADY_wystarczy_odhashowac
################################
#iptables -t nat -A PREROUTING -s 192.168.0.3 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.4 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.5 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.6 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.7 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.8 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.9 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.10 -p tcp -j REDIRECT --to-ports 2000
#iptables -t nat -A PREROUTING -s 192.168.0.14 -p tcp -j REDIRECT --to-ports 2000
###################
###koniec_blokad###
###################

#serwer plikow boogiego
#iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to 192.168.0.6:9000

#iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.10.0.0/255.0.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.10.0.0/255.20.20.0 -j ACCEPT

# maskarada

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -d 0/0 -j MASQUERADE




#blokowanie gg

#iptables -I FORWARD -p tcp -s 192.168.0.98/32 -d 217.17.41.0/24 -j ACCEPT

##kasia_kotow_blokada

#iptables -I FORWARD -p tcp -s 192.168.0.213/32 -d 217.17.41.0/24 -j DROP


####SQUID TESTY#####

#iptables -A INPUT -i eth0 -p tcp --src 192.168.0.0/24 --dport 8080 -m state --state NEW -j ACCEPT
#iptables -A PREROUTING -t nat -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j DNAT --to-destination 192.168.0.1:8080

/sbin/mii-tool -F 10baseT-HD eth0
/sbin/mii-tool -F 10baseT-HD eth1

Już zdążyłem namieszać :( i blokuje całość no i są tam widoczne najróżniejsze metody zahashowane


Niestety mimo wszystko nadal nie działa jak powinno

Ostatnio edytowany przez blazejwiecha (2008-08-25 08:13:36)


Linux Registered user #386246

Offline

 

#19  2008-09-01 13:56:06

  blazejwiecha - Użytkownik

blazejwiecha
Użytkownik
Skąd: swiętochłowice
Zarejestrowany: 2005-11-12
Serwis

Re: przekierowanie win 2003 przez debiana

Pomóżcie :)


Linux Registered user #386246

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)