[MASOCH-L] Iptables - redirecionamento para Terminal Server

Rodrigo Trevisaneli rodrigo.trevisaneli at gmail.com
Wed Jun 16 11:26:51 BRT 2010 

Obrigado a todos que responderam, solucionou minhas duvidas.

Sobre o default gateway do TS, sim ele existe, mas faz parte
de uma rede privada, para conexao com a filial, e nao é conectado
a Internet. A filial acessa esse TS por esse link privado.
Eu precisava acessar o TS pela Internet para os casos de manutencao
ou para contingencia quando esse link cair.
Eu tenho IP fixo e vou pesquisar tambem sobre SNAT.
-----------------------------------------------------------

>
> Message: 1
> Date: Tue, 15 Jun 2010 17:35:32 -0300
> From: Rodrigo Trevisaneli <rodrigo.trevisaneli at gmail.com>
> To: masoch-l <masoch-l at eng.registro.br>
> Subject: [MASOCH-L] Iptables - redirecionamento para Terminal Server
> Message-ID:
>        <AANLkTilY8f-euRpoucgmCW_AI8gVAYGW0r4VVwjKuKld at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Ola,
>
> Tenho um novo servidor de Terminal Server na rede, e ele
> nao tem saida para a Internet, somente acesso local.
> Porem precisava que ele fosse acessado pela Internet, mas
> usando a conhecida regra:
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest
> 192.168.1.3:3389
>
> nao funcionou, claro, porque pelo gateway dele ele nao tem saida para a
> Internet.
>
> Ok, so que adicionado esta regra, funciona:
>
> -A POSTROUTING -t nat -p tcp --dport 3389 -j MASQUERADE
>
> Pergunto, isso ocorre porque quando o iptables faz nat dessa forma, ele
> entrega os pacotes na porta 3389 do TS como se estivesem vindo do
> proprio iptables, ou seja, 192.168.1.1, e o TS devolve os pacotes para ele?
> Entao para o TS, ? como se a conexao viesse de dentro da rede local?
> O que nao entendo ? que ja tinha essa regra:
>
> -A POSTROUTING -t nat -o eth1 -j MASQUERADE
>
> Mas tive que criar esta mais especifica, para o TS.
>
> Outra questao, tenho outro TS na rede, este com acesso
> a Internet, porem s? ? acessado por 1 IP externo, entao ficou:
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389
> (TS1)
> -A PREROUTING -t nat -i eth1 -p tcp --dport 3389 -s 200.X.X.X -j DNAT
> --to-dest 192.168.1.2:3389 (TS2)
>
> Isso ? possivel? A mesma porta redirecionada duas vezes? O Iptables sabe
> que, se
> a conexao vier do IP 200.X.X.X, vai para o TS2 e se for outro IP vai para o
> TS1?
> Aparentemente esta funcionando. Se isso estiver correto, h? uma ordem
> correta
> para estas duas ultimas regras, ou tanto faz? Seria a mais especifica
> primeiro?
>
> Obrigado!
> -Rodrigo
>
>
> ------------------------------
>

More information about the masoch-l mailing list