From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ashen@nsrz.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.6 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.5
X-Quarantine-ID: <eRaFAb63fVw1>
X-Virus-Scanned: amavisd-new at nsrz.ru
Message-ID: <49F85796.4000106@nsrz.ru>
Date: Wed, 29 Apr 2009 17:35:18 +0400
From: AShen <ashen@nsrz.ru>
Organization: =?KOI8-R?Q?=EF=E1=EF_=EE=F3=F2=FA?=
User-Agent: Thunderbird 2.0.0.18 (X11/20090322)
MIME-Version: 1.0
To: ALT Linux Community general discussions <community@lists.altlinux.org>
References: <49F856A2.8050902@aston.ru>
In-Reply-To: <49F856A2.8050902@aston.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] =?koi8-r?b?aXB0YWJsZXMgySDQxdLFwtLP08vBINDP0tTB?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ashen@nsrz.ru, ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 29 Apr 2009 13:44:31 -0000
Archived-At: <http://lore.altlinux.org/community/49F85796.4000106@nsrz.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Roman V. Tutov пишет:
> возникла необходимость перебросить порт 3389 с машины в локалке на 
> внешний интерфейс машины выполняющей роль gw
> aaa.aaa.aaa.aaa - внешний интерфейс шлюзовой машины
> bbb.bbb.bbb.bbb- адрес машины внутри сети порт которой нужно 
> перебросить вовне
>
> контрукция вида
> iptables -t nat -A PREROUTING -p tcp  -d aaa.aaa.aaa.aaa --dport 3389 
> -j DNAT --to-destination bbb.bbb.bbb.bbb:3389
> вполне работает , но хочеться чтоб это правило было не для всего 
> интернета а для конкретных адресов
> т.е я хочу указать "-dst" но для нескольких адресов
>
> собственно как ?
Пример правил для скрипта настройки iptables:

#Наш внешний IP-адрес
INET_IP=""

#IP-адрес в инете на который разрешаем ходить по RDP
RDP_IP=""

#IP-адрес в ЛВС кому разрешаем лезть в инет по RDP
RDP_USER_IP=""

#Слушаем на INET-интерфейсе RDP, если его нужно нам пробрасывать внутрь ЛВС
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 3389 -j 
ACCEPT                                  # RDP

#Выход для RDP из ЛВС
$IPTABLES -t nat -A POSTROUTING -s $RDP_USER_IP -d $RDP_IP -o 
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $RDP_USER_IP -d $RDP_IP -j ACCEPT

#Вход в ЛВС для RDP
$IPTABLES -t nat -A PREROUTING -s $RDP_IP -i $INET_IFACE -p tcp --dport 
3389 -j DNAT --to-destination $RDP_USER_IP
$IPTABLES -A FORWARD -s $RDP_IP -i $INET_IFACE -p tcp --dport 3389 -d 
$RDP_USER_IP -j ACCEPT


P.S.: вопрос для sysadmins@