 помогите с iptables,  Жук, 06-Мрт-18, 00:01 [смотреть все]
Добрый день всем!Помогите чайнику: есть три офиса, соединённых через интернет между собою. В двух офисах на границе стоят микротики, в третьем - линукс соединяет их через eoip. Делал не я - я теперь с этим пытаюсь разобраться. Во всех офисах совсем разная адресация. В офисе за линуксом (192.168.0.254,10.40.10.254) стоит виндовый сервер 2008 (192.168.0.200), на котором стоит, например, "Консультант+". Нужно дать клиентам из других офисов доступ к "консультанту". Мне рекомендовали сделать это через публикацию приложения и прописать правила в iptables. Маскарадинг наружу сделан через POSTROUTING.
Сделал rdp-файл, где указал в качестве сервера терминалов адрес линукса и порт 63389. Пытался на линуксе прописать по разному, как описано в советах, в т.ч. и на опеннете: iptables -t nat -A POSTROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.254:63389
и
iptables -t nat -A PREROUTING -s 10.40.10.0/24 -d 192.168.0.200/32 -p tcp --dport 63389 -j DNAT --to 192.168.0.254:3389
и
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 63389 -j DNAT --to-destination 192.168.0.200:3389 никак не получается - не могу победить, уже голова не варит. :( Подскажите, где я косячу? Чувствую, что где-то я неправильно понял, но не могу понять. :(
|
- помогите с iptables, universite, 14:44 , 06-Мрт-18 (1)
- помогите с iptables, Жук, 15:58 , 06-Мрт-18 (2)
>> Добрый день всем!
>> Помогите чайнику:
> А зачем вы соглашались на работу, в которой некомпетентны?Ну, надо же учиться и расти дальше... Есть товарищ, который давно сидит в bsd и там это делается проще, но здесь у меня линукс и всё иначе. И тут он помочь мне не может. man iptables читаю, но он большой и я ещё далеко до середины.
- помогите с iptables, Andrey Mitrofanov, 16:09 , 06-Мрт-18 (3)
- помогите с iptables, universite, 04:28 , 07-Мрт-18 (5)
- помогите с iptables, Жук, 07:05 , 07-Мрт-18 (6)
>>>> Добрый день всем!
>>>> Помогите чайнику:
>>> А зачем вы соглашались на работу, в которой некомпетентны?
>> Ну, надо же учиться и расти дальше...
> Хирург тоже учится, готовы ли вы ему помочь?К чему тогда ваше участие в этой нитке (присутствие на форуме вообще)? Жизнь - дерьмо, в конце концов, нас всех ждёт смерть и тлен. Давайте сразу при рождении забронируем место на кладбище и посвятим оставшееся время подготовке к этому значительному событию...
- помогите с iptables, ALex_hha, 01:29 , 07-Мрт-18 (4)
- помогите с iptables, Жук, 10:24 , 07-Мрт-18 (7)
> Набросайте схему офисов с адресацией 1. "центральный офис" - сеть 192.168.0.0/24, интерфейс линукса 192.168.0.254
2. удалённая точка 1 - сеть 192.168.5.0/24, интерфейс линукса 192.168.5.253
3. удалённая точка 2 - сеть 10.40.10.0/24, интерфейс линукса 10.40.10.254
"целевой" сервер приложений - 192.168.0.200 - куда надо попасть. В принципе, сработало правило iptables -t nat -A PREROUTING -p tcp --dport 63389 -s 10.40.10.0/24 -j DNAT --to 192.168.0.200:3389. Правда, мне кажется оно каким-то "размытым"... Или так оно всегда? Хочу сократить диапазон адресов клиентов. PS: Кстати, товарищ-bsd-шник, когда показывал пример реализации на ipfw, упомянул про использование таблиц или списков адресов, а в man iptables я пока не нашёл такого. Или в линуксе надо на каждого клиента отдельное правило писать?
PS2: Это уже, конечно, не сюда, но, может, кто сталкивался - подскажет... Не хочет Консультант+ запускаться в режиме опубликованного приложения. :( Другие приложения запускаются, а этот гад молча отваливается. :( Пытался прописать его запуск через батник - батник отрабатывает (cd, dir, pause), а консультант молча исчезает. При запуске из терминальной сессии - работает нормально.
|
Версия для распечатки
