Доброе время суток

Подскажите пожалуйста как извне подключиться по RDP к кампу 192.168.1.254

Схема сети
АДСЛ модем имеет внешний адрес 10.10.10.10
Проброс портов настроен как показано на рисунке
Шлюз на убунте (eth3 = 192.168.1.250 eth2 = 192.168.2.250)

Подключение к 192.168.2.240 работает, но это временно

http://rghost.ru/37883252/image.png

конфа
#eth3 = 192.168.1.250 eth2 = 192.168.2.250

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT

iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001

iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -P FORWARD DROP


Заранее спасибо!

может быть стоит выключить нат на убунту и на adls прописать маршрутизацию типа 'для сети 192.168.1.0/24 отправлять на 192.168.2.250 '

slava007, не вариант
убунта шлюз и раздает нэт

убунта шлюз »оно понятно, но если я правильно прочитал вашу схему, у вас уже стоит нат на adsl модеме.

slava007, если выключить нат на убунте компы внутренней сетки не увидят интернета,
Убунта шлюзом для статистики и ограничения доступа в нет, модем так не умеет
Бриджом модем не сделать тк он привязан к вышестоящей организации

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001
смысла не имеет, так как ubunta знать не знает ни о какой 10.10.10.10, это сеть c другой стороны adsl

на убунте пропишите default GW 192.168.2.251 и можете смело вырубать нат. В вашем случае от 2х натов только больше путаницы, ведь задача нат это всего лишь трансляция адресов из внутренних во внешний, а эту функцию выполняет у вас уже adls модем. Я имею в виду просто выключить нат, а правила фаервола и все остальное оставить. Сами посудите, шлюзом для сети 192,168,1,0/24 будет 192.168.1.250 и после обработки пакетов убунта отправит их на свой шлюз по умолчанию 192.168.2.251 а тот в свою очередь подменит внутренний ip на внешний и отправит в интернет

slava007, на убунте прописан 192,168,2,251 как гейт, без ната кампы сети не могут выходить в нэт, я пробовал уже

без ната кампы сети не могут выходить в нэт, я пробовал уже » это скорее всего потому, что не прописан маршрут на adsl к сети 192.168.1.0/24