[MASOCH-L] Iptables - redirecionamento para Terminal Server
Rodrigo Trevisaneli
rodrigo.trevisaneli at gmail.com
Tue Jun 15 17:35:32 -03 2010
Ola,
Tenho um novo servidor de Terminal Server na rede, e ele
nao tem saida para a Internet, somente acesso local.
Porem precisava que ele fosse acessado pela Internet, mas
usando a conhecida regra:
-A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389
nao funcionou, claro, porque pelo gateway dele ele nao tem saida para a
Internet.
Ok, so que adicionado esta regra, funciona:
-A POSTROUTING -t nat -p tcp --dport 3389 -j MASQUERADE
Pergunto, isso ocorre porque quando o iptables faz nat dessa forma, ele
entrega os pacotes na porta 3389 do TS como se estivesem vindo do
proprio iptables, ou seja, 192.168.1.1, e o TS devolve os pacotes para ele?
Entao para o TS, é como se a conexao viesse de dentro da rede local?
O que nao entendo é que ja tinha essa regra:
-A POSTROUTING -t nat -o eth1 -j MASQUERADE
Mas tive que criar esta mais especifica, para o TS.
Outra questao, tenho outro TS na rede, este com acesso
a Internet, porem só é acessado por 1 IP externo, entao ficou:
-A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389(TS1)
-A PREROUTING -t nat -i eth1 -p tcp --dport 3389 -s 200.X.X.X -j DNAT
--to-dest 192.168.1.2:3389 (TS2)
Isso é possivel? A mesma porta redirecionada duas vezes? O Iptables sabe
que, se
a conexao vier do IP 200.X.X.X, vai para o TS2 e se for outro IP vai para o
TS1?
Aparentemente esta funcionando. Se isso estiver correto, há uma ordem
correta
para estas duas ultimas regras, ou tanto faz? Seria a mais especifica
primeiro?
Obrigado!
-Rodrigo
More information about the masoch-l
mailing list