Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: t[h]omas 28 Ledna 2016, 16:23:44
-
Zdravím ve spolek. Potřeboval bych pomoci s nastavením iptables na Debian serveru. Nedaří se mi vytvořit pravidla tak, abych se zvenku dostal přes RDP na PC ve vnitřní síti (192.168.0.13). Nyní je iptables nastaveno takto (https://ctrlv.cz/V7n7). Poradíte někdo, prosím?
-
Kurna kdo se tím má prokousávat? :)
sudo iptables-save
-
# Generated by iptables-save v1.4.8 on Mon Feb 1 09:16:54 2016
*filter
:INPUT ACCEPT [168:14491]
:FORWARD ACCEPT [123783:170613229]
:OUTPUT ACCEPT [4318:4468093]
:LOGGING - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 25 -m iprange --src-range 192.168.2.2-192.168.2.30 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp ! --dport 80 -m iprange --src-range 192.168.2.30-192.168.2.254 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.200.59.4/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.90.166.69/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.90.166.69/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 6660:7000 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 6660:7000 -j DROP
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.13/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j DROP
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 80 -m iprange --src-range 192.168.2.30-192.168.2.254 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m iprange --src-range 192.168.2.30-192.168.2.254 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -m iprange --src-range 192.168.2.30-192.168.2.254 -j DROP
-A FORWARD -s 192.168.0.13/32 -d 81.90.166.69/32 -j ACCEPT
-A FORWARD -s 81.90.166.69/32 -d 192.168.0.13/32 -j ACCEPT
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: "
-A LOGGING -j DROP
COMMIT
# Completed on Mon Feb 1 09:16:54 2016
# Generated by iptables-save v1.4.8 on Mon Feb 1 09:16:54 2016
*nat
:PREROUTING ACCEPT [256:15822]
:POSTROUTING ACCEPT [67:5154]
:OUTPUT ACCEPT [67:5154]
-A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.13:3389
-A POSTROUTING -s 192.168.0.0/25 ! -d 192.168.0.0/24 -o eth0 -j SNAT --to-source 193.165.72.62
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 1 09:16:54 2016
-
Když pominu tu omáčku, tak si myslím, že toto je nastavené ok:
-A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.13:3389
Připojuješ se na port 22 předpokládám? Co takhle firewall na tom cílovém stroji? Z toho serveru co NATuje přes telnet (nebo nc) se připojíš na 3389 na 192.168.0.13?