Welche Iptables-Regeln sind für die Weiterleitung einer Windows-Remotedesktopverbindung erforderlich?

17686
apelliciari

Ich habe diese Situation:

Netzwerkmaske. 255.255.255.0

  • Router / Gateway: Ubuntu-Server (nur Befehlszeile, keine GUI) mit interner LAN-IP 192.168.0.2 und einer dynamischen DNS auf der externen IP

  • Windows-PC auf 192.168.0.1 mit aktivierter RDP-Verbindung (Remote-Desktop-Verbindung) auf 3389

Ich möchte den RDP-Dienst an die externe Adresse weiterleiten: Wie kann ich das tun?

Was sind die iptables-Regeln, die ich für die Verbindung von außen mit meinem Windows-PC benötige?

2
F. Welchen Port verwendet Remote Desktop? Geht alles über Port 3389? A. Port 3389 ist der einzige Port, den Sie öffnen müssen. Windows versucht zuerst, den Ton über UDP (User Datagram Protocol) zu streamen. Wenn kein Port für UDP verfügbar ist, wird der Ton über einen virtuellen Kanal in Remote Desktop Protocol, der Port 3389 verwendet, gestreamt. brandstaetter vor 14 Jahren 0
3389, wie ich schon schrieb. Ja, ich brauche nur 3389 udp, aber ich weiß nicht, wie man die iptables-Regeln für diese Weiterleitung "erstellt". Ich brauche einen Hinweis, googelte ihn, aber ich habe keine klare Erklärung gefunden :( apelliciari vor 14 Jahren 0

5 Antworten auf die Frage

1
pbr

Es reicht also nicht aus, Ihnen diese Regel zu geben. Hier ist der Grund: Ich bin nicht sicher, ob (a) es richtig funktioniert (nicht getestet) und (b) wenn es funktioniert, wird es mehr als nur funktionieren - es wird wahrscheinlich RDP-Pakete an ALLE Maschinen weiterleiten in Ihrem Netzwerk. Das Dilemma ist, wie man die richtige IP-Adresse für das Argument -d nnn.nnn.nnn.nnn / nnn erhält. Also ... Käufer aufgepasst; Wenn 0/0 funktioniert, werden wahrscheinlich ALLE Maschinen hinter Ihrem Router funktionieren.

Wie auch immer, hier gehts:

iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --destination-port 3389 -j ACCEPT

Hier einige gute Informationen zu iptables: http://oceanpark.com/notes/firewall_example.html

Grüße,
-pbr

Möglicherweise müssen Sie die Zeile mit "-p udp" anstelle von "-p tcp" wiederholen. pbr vor 14 Jahren 0
1
shf301

Sie müssen eine Ziel-NAT-Regel (DNAT) erstellen, um das RDP (3389) der IP-Adresse Ihrer Internetverbindung der IP-Adresse Ihres internen Systems zuzuordnen. Etwas wie das:

iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 3389 -j DNAT --to 192.168.0.1:3389

Ersetzen Sie $ EXTIF durch Ihren externen Ethernet-Adapter (eth0, etc1, ...). Sie können lesen, diese für weitere Informationen (oder wenn ich etwas falsch in diesem Beispiel bekam, ich habe es nicht getestet)

0
mike

Port 3389 TCP und UDP auf den Computer, auf dem der Remote-Desktop aktiviert ist. Dann stellen Sie Ihre externe IP-Adresse heraus, indem Sie eine Speedtesting-Website besuchen. Wenn Sie fertig sind, müssen Sie nur noch Ihre externe IP-Adresse oder GLOBAL-IP-Adresse in ein Remote-Desktop-Terminal eingeben. Benutzer-Passwort. erledigt.

Um Port 3389 zu portieren, müssen Sie Ihren Router eingeben und diese Regel hinzufügen. Sie müssen keine Routingtabelle hinzufügen. Nur diese Regel.

Ich brauche diese iptable-Regel! Ich kenne die richtige Syntax für das Weiterleiten von 3389 TCP und UDP an diesen Computer nicht vom Server apelliciari vor 14 Jahren 0
Mit http://www.yolinux.com/TUTORIALS/LinuxTutorialIptablesNetworkGateway.html können Sie Ihre Grundlagen durchgehen und Ihr Modell für Ihr System starten. Es ist zwar großartig, keinen Standard-Router zu verwenden und einen Linux-Server zu verwenden, aber ich muss Ihre Einrichtung kennen, bevor ich Ihnen die Syntax geben kann. Diese Website sollte jedoch die Einrichtung Ihrer iptables und ipchains für die Portweiterleitung aufräumen mike vor 14 Jahren 0
0
zdm

Hier ist die Regel, die Sie brauchen:

iptables -t filter -A rdp -p tcp --dport 3389 -m state - state NEU -j ACCEPT -m comment --comment "rdp"

0
Rob Gibson

Ich würde auch vorschlagen, eine zufällige Port-Nummer von außen zu verwenden. Dies ist Sicherheit durch Unklarheit. Wenn Sie jedoch Port 3389 an der Außenseite Ihres Routers öffnen, wird dies ein Angreifer leicht erkennen und versuchen, ihn brutal zu erzwingen zu Ihrem System.

Jeder Port über 1024 funktioniert.

Verwandte Probleme