URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97152
[ Назад ]

Исходное сообщение
"помогите с iptables"
Отправлено Жук , 06-Мрт-18 00:01

Добрый день всем!
Помогите чайнику: есть три офиса, соединённых через интернет между собою. В двух офисах на границе стоят микротики, в третьем - линукс соединяет их через eoip. Делал не я - я теперь с этим пытаюсь разобраться. Во всех офисах совсем разная адресация. В офисе за линуксом (192.168.0.254,10.40.10.254) стоит виндовый сервер 2008 (192.168.0.200), на котором стоит, например, "Консультант+". Нужно дать клиентам из других офисов доступ к "консультанту". Мне рекомендовали сделать это через публикацию приложения и прописать правила в iptables. Маскарадинг наружу сделан через POSTROUTING.
Сделал rdp-файл, где указал в качестве сервера терминалов адрес линукса и порт 63389. Пытался на линуксе прописать по разному, как описано в советах, в т.ч. и на опеннете:
iptables -t nat -A POSTROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.254:63389
и
iptables -t nat -A PREROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 63389 -j DNAT --to 192.168.0.254:3389
и
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 63389 -j DNAT --to-destination 192.168.0.200:3389
никак не получается - не могу победить, уже голова не варит. :( Подскажите, где я косячу? Чувствую, что где-то я неправильно понял, но не могу понять. :(

Содержание

помогите с iptables,universite, 14:44 , 06-Мрт-18
- помогите с iptables,Жук, 15:58 , 06-Мрт-18
  - помогите с iptables,Andrey Mitrofanov, 16:09 , 06-Мрт-18
  - помогите с iptables,universite, 04:28 , 07-Мрт-18
    - помогите с iptables,Жук, 07:05 , 07-Мрт-18
помогите с iptables,ALex_hha, 01:29 , 07-Мрт-18
- помогите с iptables,Жук, 10:24 , 07-Мрт-18
  - помогите с iptables,PavelR, 06:15 , 09-Мрт-18

Сообщения в этом обсуждении

"помогите с iptables"
Отправлено universite , 06-Мрт-18 14:44

> Добрый день всем!
> Помогите чайнику:
А зачем вы соглашались на работу, в которой некомпетентны?

"помогите с iptables"
Отправлено Жук , 06-Мрт-18 15:58

>> Добрый день всем!
>> Помогите чайнику:
> А зачем вы соглашались на работу, в которой некомпетентны?
Ну, надо же учиться и расти дальше... Есть товарищ, который давно сидит в bsd и там это делается проще, но здесь у меня линукс и всё иначе. И тут он помочь мне не может. man iptables читаю, но он большой и я ещё далеко до середины.

"помогите с iptables"
Отправлено Andrey Mitrofanov , 06-Мрт-18 16:09

>>> Добрый день всем!
>>> Помогите чайнику:
>> А зачем вы соглашались на работу, в которой некомпетентны?
> Ну, надо же учиться и расти дальше... Есть товарищ, который давно сидит
" Обучаю ипитэблзам. Быстро качественно больно. Розги свои.
Обращаться: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=l... "

"помогите с iptables"
Отправлено universite , 07-Мрт-18 04:28

>>> Добрый день всем!
>>> Помогите чайнику:
>> А зачем вы соглашались на работу, в которой некомпетентны?
> Ну, надо же учиться и расти дальше...
Хирург тоже учится, готовы ли вы ему помочь?

"помогите с iptables"
Отправлено Жук , 07-Мрт-18 07:05

>>>> Добрый день всем!
>>>> Помогите чайнику:
>>> А зачем вы соглашались на работу, в которой некомпетентны?
>> Ну, надо же учиться и расти дальше...
> Хирург тоже учится, готовы ли вы ему помочь?
К чему тогда ваше участие в этой нитке (присутствие на форуме вообще)? Жизнь - дерьмо, в конце концов, нас всех ждёт смерть и тлен. Давайте сразу при рождении забронируем место на кладбище и посвятим оставшееся время подготовке к этому значительному событию...

"помогите с iptables"
Отправлено ALex_hha , 07-Мрт-18 01:29

Набросайте схему офисов с адресацией

"помогите с iptables"
Отправлено Жук , 07-Мрт-18 10:24

> Набросайте схему офисов с адресацией
1. "центральный офис" - сеть 192.168.0.0/24, интерфейс линукса 192.168.0.254
2. удалённая точка 1 - сеть 192.168.5.0/24, интерфейс линукса 192.168.5.253
3. удалённая точка 2 - сеть 10.40.10.0/24, интерфейс линукса 10.40.10.254
"целевой" сервер приложений - 192.168.0.200 - куда надо попасть.
В принципе, сработало правило iptables -t nat -A PREROUTING -p tcp --dport 63389 -s 10.40.10.0/24 -j DNAT --to 192.168.0.200:3389. Правда, мне кажется оно каким-то "размытым"... Или так оно всегда? Хочу сократить диапазон адресов клиентов.
PS: Кстати, товарищ-bsd-шник, когда показывал пример реализации на ipfw, упомянул про использование таблиц или списков адресов, а в man iptables я пока не нашёл такого. Или в линуксе надо на каждого клиента отдельное правило писать?
PS2: Это уже, конечно, не сюда, но, может, кто сталкивался - подскажет... Не хочет Консультант+ запускаться в режиме опубликованного приложения. :( Другие приложения запускаются, а этот гад молча отваливается. :( Пытался прописать его запуск через батник - батник отрабатывает (cd, dir, pause), а консультант молча исчезает. При запуске из терминальной сессии - работает нормально.

"помогите с iptables"
Отправлено PavelR , 09-Мрт-18 06:15

> PS: Кстати, товарищ-bsd-шник, когда показывал пример реализации на ipfw, упомянул про использование
> таблиц или списков адресов, а в man iptables я пока не
> нашёл такого. Или в линуксе надо на каждого клиента отдельное правило
> писать?
можно/нужно создавать свои цепочки со списками IP.
можно и иногда нужно использовать ipset.