[Comm] iptables и переброска порта
Denis Nazarov
marsden на mail.ru
Ср Апр 29 18:43:05 MSD 2009
On Wednesday 29 April 2009 19:31:14 Roman V. Tutov wrote:
> возникла необходимость перебросить порт 3389 с машины в локалке на
> внешний интерфейс машины выполняющей роль gw aaa.aaa.aaa.aaa - внешний
> интерфейс шлюзовой машины
> bbb.bbb.bbb.bbb- адрес машины внутри сети порт которой нужно перебросить
> вовне
>
> контрукция вида
> iptables -t nat -A PREROUTING -p tcp -d aaa.aaa.aaa.aaa --dport 3389 -j
> DNAT --to-destination bbb.bbb.bbb.bbb:3389 вполне работает , но хочеться
> чтоб это правило было не для всего интернета а для конкретных адресов
> т.е я хочу указать "-dst" но для нескольких адресов
>
> собственно как ?
я бы рекомендовал на внешнем интерфейсе слушать не 3389, а какой
нибудь "левый" порт, например - 32451, тогда из линукса будет
rdesktop xx.xx.xx.xx:32451, в винде же просто вбить xx.xx.xx.xx:32451 в
окне подключения к удаленному раб. столу. По крайней мере тупой взлом
перебором логинов-паролей будет сильно затруднен. А вот внутри уже
отправлять на 3389. таким образом у меня работает
iptables -t nat -A PREROUTING -p tcp -d ааа.ааа.ааа.ааа --dport 32451 -j
DNAT --to-destination bbb.bbb.bbb.bbb:3389
Подробная информация о списке рассылки community