DNAT

[Pit]

Здравейте,
Имам един проблем който се надявам че ще можете да ми помигнете !

Напоследък все по-често ми се налага да не се задържам много в офиса ! Затова единственото ми решение е "Remote Desktop" Лошото е че нямам много опит с Линукс, а ето как стоят нещата !
Имам две локални мрежи, който са зад Линукс slackware 9.1 с реално IP към интернет! Другите компютри и в двете мрежи са с Win XP pro и частни IP'та от рода на 10.10.0.1
Как да направя DNAT в смисъл след като се опитам да се вържа от вън на адрес 64.204.151.11 което е реалното IP на рутера да речем рутера автоматично да ме препраща на вътре в мрежата на адрес 10.10.0.1 ?

[DoRa]

Виж тези примери дали няма да ти помогнат:

[Ghost]

Код:

iptables -t nat -A PREROUTING -i ethX -d 64.204.151.11 -p tcp --dport rdp -j DNAT --to 10.10.0.Y
iptables -t nat -A PREROUTING -i ethX -d 64.204.151.11 -p udp --dport rdp -j DNAT --to 10.10.0.Y

ethX = интерфейсът свързан с Интернет (примерно: eth0, eth1, eth0:2...)
10.10.0.Y = ИП адресът на машината, която чака РДП връзки.

[qni]

а къде са ми отговорите ??

[Slero]

Няма го отговора ти, заминал е покрай прехвърлянето на базата на новия сървър. И въпроса ми към теб относно дефолтния порт на Remote Desktop Connection е поизчезнал.

[qni]

ясно

а на въпроса ти...дефолтния порт на RDC e 3389
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

[Slero]

ясно

а на въпроса ти...дефолтния порт на RDC e 3389
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

Ахъм.

Защото примера го беше дал, мисля, с 5900... и нямаше да проработи.

[MitkoS]

Има още един начин, който напоследък става все по-популярен.
Предимството му пред вече описания метод чрез port forwarding, е че се допускат повече от един потребителя едновременно да се закачат към компютрите си чрез RD от разстояние.

Ще опиша само идеята, тъй като не знам как точно това се реализира под Linux.
Накратко:
Прави се VPN. При това положение, вътрешните адреси (в случая 10.10.0.х) стават видими от отдалечения компютър. Прави се RD-сесия към вътрешния видим адрес.
(При Win2003Srv и имената стават видими и RD може да се прави директно по вътрешното име на компютъра, а не само по вътрешния адрес.)

[qni]

@Slero
аз примера го бях дал с дефолтния порт нa който се конектва RealVNC

айде и аз да добавя още един начин.
има едно програмче redir 2.2.1 -- a port redirector, used to forward incoming connections to somewhere else
http://sammy.net/~sammy/hacks/redir-2.2.1.tar.gz
става много лесно, примерно

Код:

./redir --lport="порта на който да слуша" --laddr="IP на което да слуша" --cport="порта на който да редиректва" --caddr="IP на което да редиректва"

и това като се сложи да се изпълнява при boot и готово.

[Slero]

И да добавим и hamachi, тук... макар, че не е съвсем по темата - във форума вече имаше писано по този въпрос

[Ghost]

Има още един начин, който напоследък става все по-популярен.
Предимството му пред вече описания метод чрез port forwarding, е че се допускат повече от един потребителя едновременно да се закачат към компютрите си чрез RD от разстояние.

Ще опиша само идеята, тъй като не знам как точно това се реализира под Linux.
Накратко:
Прави се VPN. При това положение, вътрешните адреси (в случая 10.10.0.х) стават видими от отдалечения компютър. Прави се RD-сесия към вътрешния видим адрес.
(При Win2003Srv и имената стават видими и RD може да се прави директно по вътрешното име на компютъра, а не само по вътрешния адрес.)

VPN също е решение. Има си и предимства и недостатъци. Зависи какво точно трябва да се постигне. Обаче поставено така

Предимството му пред вече описания метод чрез port forwarding, е че се допускат повече от един потребителя едновременно да се закачат към компютрите си чрез RD от разстояние.

се създава впечатлението, че чрез port forwarding не могат да се осъществят едновременно повече от една връзки,[red] което не е вярно[/red]. Единственият проблем, за който мога да се сетя в момента, e [b]умишлено наложеното от M$ ограничение на Windows XP да не позволява да се логнат едновременно повече от 1 потребители.

[Ghost]

И да добавим и hamachi, тук... макар, че не е съвсем по темата - във форума вече имаше писано по този въпрос

Човека иска да се свързва с офиса. Не знам в неговия офис как стоят нещата с поверителната информация, но ако аз отговарях за мрежовата сигурност, hamachi щеше да е блокирано. Защо? - Защото е програма със затворен код, която създава "VPN*" (в кавички) посредством централизиран сървър, поддържан от създателите на hamatchi...Ами...не, тц...не става...За мен hamachi е по-скоро p2p мрежа, отколкото VPN, защото в него няма нищо "private" освен сорс кода и спецификацията за начина на действие. ;-)

Като приемливо безплатно решение за създаване на VPN бих посочил OpenVPN (цък)

*VPN = Virtual Private Network

[MitkoS]

VPN също е решение. Има си и предимства и недостатъци. Зависи какво точно трябва да се постигне. Обаче поставено така се създава впечатлението, че чрез port forwarding не могат да се осъществят едновременно повече от една връзки,[red] което не е вярно[/red]. ...

'Айде да не се формализираме излишно. Ясно е какво имам впредвид и е вярно. Едно е да пуснеш еднократно VPN-сървис към съществуващия сървър, друго е за всеки потребител поотделно да дефинираш port-fordwarding за нарочен порт и да му съставяш инструкции как точно да го прави от вкъщи.
А може би имаш впредвид няколко потребителя да влизат едновременно в един компютър ? А пък аз имам впредвид, всеки от вкъщи (или откъдето му е кеф отвън) да стига точно до неговия си служебен компютър чрез VPN и RD, без да се налага да се съобразява дали някой друг от офиса прави същото в момента.

[Ghost]

Мислех, че имаш предвид, че не може няколко клиента да се свържат едновременно с един и същ компютър чрез port forwarding. След уточнението, съм напълно съгласен - за всеки, очакващ връзки ИП адрес, трябва отделно правило.

[MitkoS]

Не съм го написал ясно в предишните постове, за което се извинявам.
Всъщност това което искам да кажа е:
Чрез ползването на VPN-връзки, се избягва дефинирането на отделни правила за отделните потребители и се постига една приятна унифицираност за всички в офиса. При темпа на развитие на комуникациите и скоростите (в България), вече може да се пренебрегва забавянето от самата VPN-връзка.

А що се отнася до
умишлено наложеното от M$ ограничение на Windows XP да не позволява да се логнат едновременно повече от 1 потребители,
то това ограничение умишлено може да се прескочи, както вече сме го коментирали по други теми.