roby1483
15-05-2010, 15:58
Salve a tutti,
e' tutta la mattina che tento di configurare iptables in modo che mi dia l'accesso remoto su una macchina della rete locale. La situazione che ho e' la seguente:
Internet <-> Netgear DG834 <-> Macchina Linux con 2 interfacce di rete <-> switch unmanaged <-> LAN.
Il Netgear ha IP 192.168.1.1 ed e' configurato per girare alla prima interfaccia della macchina Linux (192.168.1.10) tutto il traffico diretto porta 3389. La macchina Linux, tramite regole di iptables, dovrebbe girare il traffico per la porta 3389 ad una macchina interna tramite la seconda interfaccia (192.168.0.10), ma solamente il traffico che viene da determinati IP.
Per tentare di fare questo ho usato la seguente configurazione:
INTIF="eth0"
EXTIF="eth1"
EXTIP="192.168.1.10"
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t nat -A PREROUTING -i $EXTIF -s $IPACCESSOREMOTO -p tcp --dport 3389 -j DNAT --to $GESTIONALE
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -s $IPACCESSOREMOTO -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
Come potete immaginare cosi' non funziona, non riesco ad accedere da casa in desktop remoto sulla macchina interessata.
In input di default accetto tutto, tanto a monte ho il Netgear che mi fa passare solo SSH e desktop remoto. Non sono certo sull'ultima regola per il postrouting, invece di masquerade ho messo un source nat perche' immagino che il masquerade lo faccia il Netgear.
Spero che possiate darmi una mano :D
Grazie in anticipo,
Roberto.
e' tutta la mattina che tento di configurare iptables in modo che mi dia l'accesso remoto su una macchina della rete locale. La situazione che ho e' la seguente:
Internet <-> Netgear DG834 <-> Macchina Linux con 2 interfacce di rete <-> switch unmanaged <-> LAN.
Il Netgear ha IP 192.168.1.1 ed e' configurato per girare alla prima interfaccia della macchina Linux (192.168.1.10) tutto il traffico diretto porta 3389. La macchina Linux, tramite regole di iptables, dovrebbe girare il traffico per la porta 3389 ad una macchina interna tramite la seconda interfaccia (192.168.0.10), ma solamente il traffico che viene da determinati IP.
Per tentare di fare questo ho usato la seguente configurazione:
INTIF="eth0"
EXTIF="eth1"
EXTIP="192.168.1.10"
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t nat -A PREROUTING -i $EXTIF -s $IPACCESSOREMOTO -p tcp --dport 3389 -j DNAT --to $GESTIONALE
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -s $IPACCESSOREMOTO -p tcp --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
Come potete immaginare cosi' non funziona, non riesco ad accedere da casa in desktop remoto sulla macchina interessata.
In input di default accetto tutto, tanto a monte ho il Netgear che mi fa passare solo SSH e desktop remoto. Non sono certo sull'ultima regola per il postrouting, invece di masquerade ho messo un source nat perche' immagino che il masquerade lo faccia il Netgear.
Spero che possiate darmi una mano :D
Grazie in anticipo,
Roberto.