[MASOCH-L] Iptables - redirecionamento para Terminal Server

Anderson Silva abnerdoom at gmail.com
Wed Jun 16 15:36:36 -03 2010


2010/6/15 Rodrigo Trevisaneli <rodrigo.trevisaneli at gmail.com>

> Ola,
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest
> 192.168.1.3:3389
>
>
deveria funcionar a não ser que o firewall bloqueie as respostas do TS.


> nao funcionou, claro, porque pelo gateway dele ele nao tem saida para a
> Internet.
>
>
Não entendi.


> Ok, so que adicionado esta regra, funciona:
>
> -A POSTROUTING -t nat -p tcp --dport 3389 -j MASQUERADE
>
>
funciona porque as conexões externas são mascaradas com o ip da rede local
do firewall, seu TS responde para o firewall que remete para quem chamou


> Pergunto, isso ocorre porque quando o iptables faz nat dessa forma, ele
> entrega os pacotes na porta 3389 do TS como se estivesem vindo do
> proprio iptables, ou seja, 192.168.1.1, e o TS devolve os pacotes para ele?
> Entao para o TS, é como se a conexao viesse de dentro da rede local?
> O que nao entendo é que ja tinha essa regra:
>
>
Sim, exatamente


> -A POSTROUTING -t nat -o eth1 -j MASQUERADE
>
>
Acredito que eth1 seja a sua interface conectada no seu link wan, esta regra
serve para fazer npat dos ips da rede local e por isso está especificando a
interface de saída.


> Mas tive que criar esta mais especifica, para o TS.
>
> Outra questao, tenho outro TS na rede, este com acesso
> a Internet, porem só é acessado por 1 IP externo, entao ficou:
>
> -A PREROUTING -t nat -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.3:3389
> (TS1)
> -A PREROUTING -t nat -i eth1 -p tcp --dport 3389 -s 200.X.X.X -j DNAT
> --to-dest 192.168.1.2:3389 (TS2)
>
>
A solução seria alocar uma porta para um TS e outra porta para outro TS
-A PREROUTING -t nat  -i eth1 -p tcp --dport 33891 -j DNAT --to-destination
192.168.1.3:3389
-A PREROUTING -t nat  -i eth1 -p tcp --dport 33892 -j DNAT --to-destination
192.168.1.2:3389
-A INPUT -i eth1 -p tcp --dport 33891 -j ACCEPT
-A INPUT -i eth1 -p tcp --dport 33892 -j ACCEPT
-A FORWARD -p tcp --dport 3389 -o eth0 -j ACCEPT



> Isso é possivel? A mesma porta redirecionada duas vezes? O Iptables sabe
> que, se
> a conexao vier do IP 200.X.X.X, vai para o TS2 e se for outro IP vai para o
> TS1?
>

first match
A primeira regra que casa.


> Aparentemente esta funcionando. Se isso estiver correto, há uma ordem
> correta
> para estas duas ultimas regras, ou tanto faz? Seria a mais especifica
> primeiro?
>
>



More information about the masoch-l mailing list