Pomoc s nastavením IP tables

[t[h]omas]

Zdravím ve spolek. Potřeboval bych pomoci s nastavením iptables na Debian serveru. Nedaří se mi vytvořit pravidla tak, abych se zvenku dostal přes RDP na PC ve vnitřní síti (192.168.0.13). Nyní je iptables nastaveno takto. Poradíte někdo, prosím?

[Petr Merlin Vaněček]

Kurna kdo se tím má prokousávat?

Kód: [Vybrat]

sudo iptables-save


[t[h]omas]

Kód: [Vybrat]

# Generated by iptables-save v1.4.8 on Mon Feb  1 09:16:54 2016
*filter
:INPUT ACCEPT [168:14491]
:FORWARD ACCEPT [123783:170613229]
:OUTPUT ACCEPT [4318:4468093]
:LOGGING - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 25 -m iprange --src-range 192.168.2.2-192.168.2.30 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp ! --dport 80 -m iprange --src-range 192.168.2.30-192.168.2.254 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.200.59.4/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.90.166.69/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 81.90.166.69/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 95.80.230.80/32 -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i eth0 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 6660:7000 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 6660:7000 -j DROP
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.13/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j DROP
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 80 -m iprange --src-range 192.168.2.30-192.168.2.254 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -p tcp -m tcp --dport 443 -m iprange --src-range 192.168.2.30-192.168.2.254 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -m iprange --src-range 192.168.2.30-192.168.2.254 -j DROP
-A FORWARD -s 192.168.0.13/32 -d 81.90.166.69/32 -j ACCEPT
-A FORWARD -s 81.90.166.69/32 -d 192.168.0.13/32 -j ACCEPT
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: "
-A LOGGING -j DROP
COMMIT
# Completed on Mon Feb  1 09:16:54 2016
# Generated by iptables-save v1.4.8 on Mon Feb  1 09:16:54 2016
*nat
:PREROUTING ACCEPT [256:15822]
:POSTROUTING ACCEPT [67:5154]
:OUTPUT ACCEPT [67:5154]
-A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.13:3389
-A POSTROUTING -s 192.168.0.0/25 ! -d 192.168.0.0/24 -o eth0 -j SNAT --to-source 193.165.72.62
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb  1 09:16:54 2016


[Petr Merlin Vaněček]

Když pominu tu omáčku, tak si myslím, že toto je nastavené ok:

Kód: [Vybrat]

-A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.13:3389

Připojuješ se na port 22 předpokládám? Co takhle firewall na tom cílovém stroji? Z toho serveru co NATuje přes telnet (nebo nc) se připojíš na 3389 na 192.168.0.13?