[ubuntu] iptables portforwarding rdp werkt niet.

woensdag 7 mei 2008 20:38

Acties:

0 Henk 'm!

Topicstarter

Ik heb sinds een week iptables draaien, op zich werkt het prima en inmiddels werkt ook nat perfect. Nu is het probleem dat ik graag wat porten zou willen forwarden voor o.a rdp.
Een gedeelte van mijn iptables:

ETH5 = WAN (/8 subnet)
ETH2 = LAN (/24 subnet)

#RDP port forward.
sudo iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 3389 -j DNAT --to 192.168.1.46

#luiheid
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#allow RDP
sudo iptables -A INPUT -d 10.0.1.151 -p tcp --dport 3389 -j ACCEPT

#block all
sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP

Wat doe ik fout?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 7 mei 2008 21:54

Acties:

0 Henk 'm!

blaataaps

Werkt het wel als je de forward-regel los gebruikt? Werkt het wel als je -I doet? Wat gebeurt er in de rest van je regels? /8 subnet?

woensdag 7 mei 2008 22:01

Acties:

0 Henk 'm!

battler

Topicstarter

- /8 in de zin van 8bits, 255.0.0.0 klasse A, 10.0.0.0
- Als ik -I doe, krijg ik de melding dat dat niet kan icm -A.
Can't use -I with -A
- alleen die regel werkt het ook niet.
- De rest van mijn iptables ziet er als volgt uit.

sudo iptables --flush
sudo iptables --table nat --flush
sudo iptables --delete-chain
sudo iptables --table nat --delete-chain
sudo iptables --table nat --append POSTROUTING --out-interface eth5 -j MASQUERADE
sudo iptables --append FORWARD --in-interface eth2 -j ACCEPT
sudo iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 3389 -j DNAT --to 192.168.1.46
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -d 10.0.1.151 -p tcp --dport ssh -j ACCEPT
sudo iptables -A INPUT -d 10.0.1.151 -p tcp --dport 3389 -j ACCEPT
sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP

[ Voor 112% gewijzigd door battler op 07-05-2008 22:21 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 7 mei 2008 22:36

Acties:

0 Henk 'm!

Tim

Waarom gebruik je op elke regel sudo? Ik neem aan dat dit een boot scriptje is of iets dergelijks?

Wat werkt er overigens niet? Kan je niet verbinden? Test je wel vanaf je WAN? Werkt de client uberhaupt? Misschien kan je het even testen met netcat oid.

Je kan ook je policies even aanpassen naar ACCEPT en kijken of het dan wel werkt. Of wat LOG entries maken om te kijken waar het mis gaat. Of kijken met "iptables -L -v" of je regels uberhaupt worden gebruikt.

woensdag 7 mei 2008 23:29

Acties:

0 Henk 'm!

battler

Topicstarter

Hij werkt:

#eerst ff leeg maken.
sudo iptables --flush
sudo iptables --table nat --flush
sudo iptables --delete-chain
sudo iptables --table nat --delete-chain

#Nat gedeelte, ETH5 = wan , ETH2 = lan
sudo iptables --table nat --append POSTROUTING --out-interface eth5 -j MASQUERADE
sudo iptables --append FORWARD --in-interface eth2 -j ACCEPT

#portforwarding binnenkomend op de wan als destination port 23 naar 192 ip
sudo iptables -t nat -A PREROUTING -p tcp -i eth5 --dport 23 -j DNAT --to 192.168.1.50

#alle overige connecties
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#accepteer binnenkomend als destination ip 10.0 enz.. op port 23
sudo iptables -A INPUT -d 10.0.1.151 -p tcp --dport 23 -j ACCEPT

#drop voor de rest alles.
sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP

HIj werkt nu, het bovenstaande is voor mensen met het zelfde "probleem".

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

woensdag 7 mei 2008 23:40

Acties:

0 Henk 'm!

Bergen

Spellingscontroleur

Ja, maar nu de vraag van Tes nog: waarom zet je overal sudo voor? Het is toch een script wat je uitvoert? Als je die uitvoert als root hoef je niet overal nogmaals sudo voor te zetten.

donderdag 8 mei 2008 23:14

Acties:

0 Henk 'm!

deadinspace

The what goes where now?

battler schreef op woensdag 07 mei 2008 @ 20:38:

#RDP port forward.
sudo iptables -t nat -A PREROUTING -i eth5 -p tcp --dport 3389 -j DNAT --to 192.168.1.46

#allow RDP 
sudo iptables -A INPUT -d 10.0.1.151 -p tcp --dport 3389 -j ACCEPT

De INPUT chain is voor verkeer dat die computer als eindbestemming heeft. Je RDP forward heeft die computer niet als eindbestemming, en hij komt dus niet door de INPUT chain. Waar hij wel doorheen gaat is de FORWARD chain, dus daarin moet je hem allowen.

battler schreef op woensdag 07 mei 2008 @ 23:29:

#alle overige connecties
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#drop voor de rest alles.
sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP

Dat is een beetje loos natuurlijk... Je zet de policy van de chains INPUT, OUTPUT en FORWARD op DROP, maar je staat wel alle nieuwe en bestaande connecties toe. De policies op ACCEPT laten staan bereikt vrijwel hetzelfde, maar dan makkelijker

Onderwerpen