Iptables и локальный сервер

[kostyk]

Есть компьютер с операционкой Linux Red Hat 9.2 с внешним IP, этот компьютер является шлюзом для локальной сети в инет, также в локальной сети есть сервак под осью Windows 2003 Server C 1C Бухгалтерией с IP-адресом 192.168.0.100. Нужно из мира заходить через удаленый рабочий стол на этот локальный сервер для того чтоб работать с 1С Бухгалтерией, через удаленый рабочий стол этого Windows 2003 Server. Подскажите правило в IPTABLES которое будет редеректить все пакеты на этот Windows 2003 Server. Тоесть чтоб человек из другого города открыл свой удаленный раб стол прописал IP моего Linux сервера и попал на Windows 2003 сервер, и мог работать так как будто он напрямую заходит на Windows 2003 Server.
Спасибо за помошь!

[Tokra]

будешь смеяться, но все очень просто

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1С -j DNAT \
--to-destination айпи 1С

Ступил я с начала!!

[sergd]

Поднимаешь на твоем серваке с 1С службу терминалов, по=моему слушает порт 3389
Далее, в iptables

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d твой.внешний.ip.шник --dport 3389 -j DNAT --to-destination внутренний.ip.сервера.1С:3389

Remote desktop-ом ходишь на твой внешний IP-шник, порт 3389.

[kostyk]

Поднимаешь на твоем серваке с 1С службу терминалов, по=моему слушает порт 3389
Далее, в iptables

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d твой.внешний.ip.шник --dport 3389 -j DNAT --to-destination внутренний.ip.сервера.1С:3389

Remote desktop-ом ходишь на твой внешний IP-шник, порт 3389.

Большое спасибо, а пакеты будут как приходить так и уходить в обе стороны нормально?

[sergd]

У меня подобным образом внутренний FTP работает. Но FTP спецательный - для одного конкретного приклада.

[kostyk]

а будет ли правильным такое правило?

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.0.1-ип_шлюза --dport 3389 -j DNAT
--to-destination 192.168.0.100:3389

для того чтоб попробовать пртестировать это правило в самой локалке???
тоесть я буду из локалки со свеого ip 192.168.0.55 конектится на шлюз и чтоб он перебрасывал меня на Windows Server 2003

[sergd]

В догонку- но если ты подпобным образом собираешься обслуживать много юзеров, лучше поднимать отдельный терминальный сервер. 1С очень уже охоча до ресурсов - не люблю я ее, хотя с ней практически не работал, но хорошо знаю людей, которым приходится с ней долбаться.

а будет ли правильным такое правило?

$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.0.1-ип_шлюза --dport 3389 -j DNAT
--to-destination 192.168.0.100:3389

для того чтоб попробовать пртестировать это правило в самой локалке???
тоесть я буду из локалки со свеого ip 192.168.0.55 конектится на шлюз и чтоб он перебрасывал меня на Windows Server 2003

Знаешь, я такие вещи не практикую. Для чистоты эксперимента прицепи куда-нибудь модем и вывались в инет, а отуда проверяй. Что бы потом не было мучительно больно за бесцельно ...

[kostyk]

Делаю:
#IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d мой_внешний_ип --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
#iptables-save
потом просматриваю конфиг /etc/sysconfig/iptables но там нет того правила которое я добавил, а есть только:
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -p tcp -m multiport --dports http,socks -j DNAT --to-destination 192.168.0.1:3128
может это правило препятствует добавлению моего правила???