Исходные данные: интернет-шлюз под Debian.
Задача: открыть внешний доступ к терминальному серверу (порт 3389). Ограничить доступ только для разрешенных внешних IP-адресов.
Решение:
Добавляем в правила IPTABLES всего лишь две строки:
$IPT -t nat -A PREROUTING -p tcp --source $SKY -d $EXTIP --dport 3389 -j DNAT --to $TERMINAL:3389
$IPT -t nat -A POSTROUTING -d $TERMINAL -j MASQUERADE
$IPT -t nat -A POSTROUTING -d $TERMINAL -j MASQUERADE
Здесь,
SKY - IP-адрес, пользователя, которому даем доступ к терминальному серверу.
EXTIP - внешний IP-адрес интернет-шлюза.
TERMINAL - IP-адрес терминального сервера.
Где же вы берёте эту глупость!
Второе правило должно быть
$IPT -t nat -A POSTROUTING -d $SKY -j MASQUERADE
Правило верное и проверено на практике. В данном случае TERMINAL — это внутренний сервер и вторая команда пропускает обратку от этого сервера. Первая команда пропускает запросы от внешнего пользователя.
I’m agree with author, but you could write more detailed text
Все работает, Спасибо.