Как подменить адрес назначения через iptables?

Question

[Дмитрий]

В сети есть Windows Server2008 ip:10.0.0.10
Рабочая станция Windows ip:10.0.0.2
Шлюз Интернета Linux ip1:10.0.0.1

Требуется:
Чтобы при подключении из локальной сети с рабочей станции по RDP на шлюз на произвольный порт, например на 10.0.0.1:13389, соединение перенаправлялось на сервер 10.0.0.10:3389 (то есть подмена адреса назначения).
Возможна ли такая конфигурация и как её можно сделать?

Comments

[synapse_people]

там есть FORWARD и REDIRECT правила, не помню, гляньте док.

[mureevms]

По-русски это действие называется проброс портов. Погуглите, задача элементарная

Answer 1

[robux]

Полагаю, на шлюзе 10.0.0.1 сделать как-то так:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 13389 -j DNAT --to-destination 10.0.0.10:3389

Не забудь также разрешить FORWARD, подгрузить модуль iptable_nat и включить в ядре параметр /proc/sys/net/ipv4/ip_forward.

Comments

[Дмитрий]

Да што ж такое. Всё утро делать и так и эдак, и SNAT и DNAT, и сниффером флаги смотрел - не получалось. Ваше правило скопировал, свои параметры подставил - всё получилось с "пол-пинка"
Премного благодарен!

[Дмитрий]

А не подскажете, как теперь увидеть можно, что сессия висит?
Вот открыта RDP-сессия, пытаюсь на сервере сделать
# netstat -lptun
Ничего не показывает. Понимаю, что PREROUTING отрабатывает, я и не увижу. А как-то можно увидеть следующую информацию: какой адрес в данный момент висит?

[robux]

Дмитрий, я обычно пользовался:
iptables -L -t nat -n -v

Вот здесь ещё советуют:

netstat -ptnau
lsof -i
netstat -tulpan
ss -plna
iptraf
trafshow

Сам я таким целям не задавался, точнее сказать не могу.

[Дмитрий]

Michael Galyuk, Эти способы оказались не показательны... Увы. Но решил проблему - смотрю файл состояния соединений - nf_conntrack, там есть вся необходимая мне информация. Спасибо за помощь!

[robux]

Дмитрий, а какими командами, через утилиту conntrack?

conntrack -L
conntrack -L --src-nat
conntrack -L --dst-nat
conntrack -L -o extended
conntrack -S

[Дмитрий]

Michael Galyuk, да, её поставил. Но сейчас смотрю просто файл /proc/net/nf_conntrack. Если интересно, общее решение описал тут: , сейчас просто "причёсываю" скрипт