 |
|
| R.i.m.s.k.y. |
02-05-2012 23:38 1909514 |
Банальный проброс портов
Доброе время суток
Подскажите пожалуйста как извне подключиться по RDP к кампу 192.168.1.254
Схема сети
АДСЛ модем имеет внешний адрес 10.10.10.10
Проброс портов настроен как показано на рисунке
Шлюз на убунте (eth3 = 192.168.1.250 eth2 = 192.168.2.250)
Подключение к 192.168.2.240 работает, но это временно
конфа
Код:
#eth3 = 192.168.1.250 eth2 = 192.168.2.250
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389 -j ACCEPT
iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT
iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001
iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -P FORWARD DROP
Заранее спасибо! |
может быть стоит выключить нат на убунту и на adls прописать маршрутизацию типа 'для сети 192.168.1.0/24 отправлять на 192.168.2.250 '
|
| R.i.m.s.k.y. |
03-05-2012 08:04 1909613 |
slava007, не вариант
убунта шлюз и раздает нэт
|
оно понятно, но если я правильно прочитал вашу схему, у вас уже стоит нат на adsl модеме. |
| R.i.m.s.k.y. |
03-05-2012 12:27 1909730 |
slava007, если выключить нат на убунте компы внутренней сетки не увидят интернета,
Убунта шлюзом для статистики и ограничения доступа в нет, модем так не умеет
Бриджом модем не сделать тк он привязан к вышестоящей организации
|
Код:
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 --dport 3389 -j DNAT --to-destination 192.168.1.254:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.240 --dport 3389 -j SNAT --to-source 10.10.10.10:50000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.254 --dport 3389 -j SNAT --to-source 10.10.10.10:50001
смысла не имеет, так как ubunta знать не знает ни о какой 10.10.10.10, это сеть c другой стороны adsl |
на убунте пропишите default GW 192.168.2.251 и можете смело вырубать нат. В вашем случае от 2х натов только больше путаницы, ведь задача нат это всего лишь трансляция адресов из внутренних во внешний, а эту функцию выполняет у вас уже adls модем. Я имею в виду просто выключить нат, а правила фаервола и все остальное оставить. Сами посудите, шлюзом для сети 192,168,1,0/24 будет 192.168.1.250 и после обработки пакетов убунта отправит их на свой шлюз по умолчанию 192.168.2.251 а тот в свою очередь подменит внутренний ip на внешний и отправит в интернет
|
| R.i.m.s.k.y. |
03-05-2012 12:57 1909764 |
slava007, на убунте прописан 192,168,2,251 как гейт, без ната кампы сети не могут выходить в нэт, я пробовал уже
|
Цитата:
Цитата R.i.m.s.k.y.
без ната кампы сети не могут выходить в нэт, я пробовал уже »
|
это скорее всего потому, что не прописан маршрут на adsl к сети 192.168.1.0/24 |
Время: 14:15.
© OSzone.net 2001-