From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <kae@tut.by>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.8 required=5.0 tests=AWL,BAYES_00,SPF_PASS,
	UPPERCASE_50_75 autolearn=no version=3.2.5
X-SpamTest-Envelope-From: kae@tut.by
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 8395 [May 11 2009]
X-SpamTest-Info: helo_type=3
X-SpamTest-Method: none
X-SpamTest-Rate: 0
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0284], KAS30/Release
Message-ID: <4A07F697.5050407@tut.by>
Date: Mon, 11 May 2009 12:57:43 +0300
From: =?UTF-8?B?ItCQLiDQmtGD0LvQuNC60L7QstGB0LrQuNC5Ig==?= <kae@tut.by>
User-Agent: Thunderbird 2.0.0.21 (X11/20090323)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <49FE802A.1030708@rambler.ru>
	<4A02A13E.6030003@rambler.ru>	<200905071223.04783.ave@zetetika.com.ua>	<200905071919.15595.ave4600@gmail.com>
	<430987B90794E447B55C6CD68F58196A039C76ABF6@Nemesis.itsg.local>
In-Reply-To: <430987B90794E447B55C6CD68F58196A039C76ABF6@Nemesis.itsg.local>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] iptables+rdp
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 11 May 2009 09:58:23 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4A07F697.5050407@tut.by/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Безбородов Григорий пишет:
> Всем привет.
>
> Не могу понять в чем трабла... пишу следующие правила для iptables:
>
> -A FORWARD -d $localIP -p tcp --dport 3389 -j ACCEPT
> -A PREROUTING -d $inetIP -p tcp --dport 3389 -j DNAT --to-destination $localIP:3389
>
> $localIP - виндовый сервер сервер 
> $inetIP - мой внешний IP
>
> RDP из внешки не подключается.
>   
У меня так:

iptables -t nat -A PREROUTING -p tcp -s $REMOTE_CLIENT -d $IP_INET 
--dport 3389 -j DNAT --to-destination $RDP_SRV_IN_LAN
iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to-source $IP_INET
iptables -t nat -A POSTROUTING -p tcp -d $RDP_SRV_IN_LAN --dport 3389 -j 
SNAT --to-source $IP_LAN
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Где:
$IP_INET  -- мой белый IP
$EXTIF -- интерфейс, смотрящий в ИНет
$RDP_SRV_IN_LAN  - IP сервера в LAN
$REMOTE_CLIENT  -- IP клиента в ИНете, с которого можно RDP

Делал давно. Работало.
ЗЫ: Из первой строчки можно при желании убрать -s $REMOTE_CLIENT и/или 
-d $IP_INET.
ЗЫ2: Не уверен, что нужно третья строка... Хотя...

-- 
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ