: 20 stycznia 2011, 08:22
-
Kod: Zaznacz cały
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
Polskie Forum Użytkowników Debiana
Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/
[+] iptables i terminal serwisowy
Strona 2 z 2
: 25 marca 2011, 14:17
Może zacznijmy od podstaw. Iptables działa sekwencyjnie, a więc dla każdego nadchodzącego pakietu sprawdzane jest, czy spełnia warunek (polecenie iptables z parametrami). Jeżeli pasuje to jest wykonywana akcja na pakiecie (np ACCEPT DROP itp.), jeżeli nie spełnia, to wykonywane jest następne w kolejności polecenie i tak do końca Twoich reguł. No i tak na pierwszy rzut oka patrząc Twój skrypt najpierw próbuje rutować pakiet na port, który jeszcze nie ma włączonego przekazywania pakietów (forwardowania). Chodzi dokładnie o to:
Proszę jeszcze kogoś mądrego o zweryfikowanie tego, czy pisze prawdę bo czasami człowiek takie głupoty opowiada
: 25 marca 2011, 15:13
No tak, to co napisałeś
działa ale i to działa:
ale tylko dla portu 3389 (tak jak napisałem wcześniej).
Ale to już nie działa (wyższy port):
Nie jestem aż takim specem od tego, uczę się iptables dopiero i im więcej wiem tym wiem że jestem głupszy.
Dodane:
Jakim oprogramowaniem linuksowym mogę sprawdzić co się dzieje z pakietem? Może tak dojdę do tego co jest nie tak.
Dodane:
Już wiem, do komunikacji z terminal serwerami nieważne czy std port 3389 lub też inny trzeba pozwolić firewallowi na ruch na porcie 3389, i ta konfiguracja działa:
Opis usługi http://technet.microsoft.com/en-us/libr ... 10%29.aspx
Kod: Zaznacz cały
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
Kod: Zaznacz cały
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
Ale to już nie działa (wyższy port):
Kod: Zaznacz cały
/sbin/iptables -A FORWARD -p tcp --dport 13389 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 13389 -j DNAT --to-destination 10.0.0.2:3389
Dodane:
Jakim oprogramowaniem linuksowym mogę sprawdzić co się dzieje z pakietem? Może tak dojdę do tego co jest nie tak.
Dodane:
Już wiem, do komunikacji z terminal serwerami nieważne czy std port 3389 lub też inny trzeba pozwolić firewallowi na ruch na porcie 3389, i ta konfiguracja działa:
Kod: Zaznacz cały
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 13389 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 13389 -j DNAT --to-destination 10.0.0.2:3389
: 25 marca 2011, 15:16
To fajnie że działa
: 25 marca 2011, 15:55
Jeszcze jedno pytanie, gdzie najlepiej blokować adresy MAC? na początku po domyślnej polityce sieci czy gdzieś przy końcu?
: 28 marca 2011, 13:31
Wszystko zalży do tego co chcesz osiągnąć. Jeśli chcesz domyślnie całkowicie blokować jakieś hosty po MAC to na początku.
: 28 marca 2011, 13:43
Witaj, i tak też zrobiłem i działa 