RDP over natd && ipfw

[uzzzer]

Добрый день.

Собственно говоря, такая проблема:
Я никак не могу понять, какие правила надо делать в файрволе, чтобы можно было использовать RDP наружу (т.е. у меня в офисе шлюз на фре, в цеху шлюз на винде - хочу подцепиться на винду по RDP). Подскажите как это можно организовать

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

открыть доступ наружу на 3389 порт

[uzzzer]

Это я и так знаю. У меня вопрос как его открыть? Правило вида:

Код: Выделить всё

ipfw add allow ip from 192.168.4.20 to any dst-port 3389

не спасает! Трафик через правило проходит, а соединения нет!

[schizoid]

ну и назад жеж пустить нужно трафик

[Lycane]

Можно сделатЬ через natd, можно через inetd

[hroft]

еще так можно...

Код: Выделить всё

add allow tcp from any to any 3389

[FenX]

ну и следом за ним:

Код: Выделить всё

add allow tcp from any 3389 to any

а вообще, если соединения с нетом идут через нат, то и так должно работать.

[paradox]

а еще можно ipfw add 1 pass all from any to any
универсальное правило
спасает когда ничего не работает

[Locus]

Код: Выделить всё

ipfw add allow ip from 192.168.4.20 to any dst-port 3389

Разрешить обратные пакеты (т.е. отклики RD-сервера):

Код: Выделить всё

ipfw add allow tcp from 192.168.4.20 to any rdp setup
ipfw add allow tcp from any to any established

Ну и NAT тоже.

[skeletor]

Может всё-таки нужен проброс порта снаружи во внутрь?

[Locus]

Может всё-таки нужен проброс порта снаружи во внутрь?

Согласно автору, нужно обратное:

...чтобы можно было использовать RDP наружу (т.е. у меня в офисе шлюз на фре, в цеху шлюз на винде - хочу подцепиться на винду по RDP)...

[skeletor]

Тогда неясно, что автор хотел сказать выражением RDP over nat.

После прочтения всех постов, понял, что у автора отсутствует NAT, и ещё: он просто хочет разрешить выходить через RDP на компы в инете. Но это после того, как пересобрал ядро с поддержкой телепатии.

[Locus]

После прочтения всех постов, понял, что у автора отсутствует NAT

Похоже на то.

[MASiK]

для начала надо перекинуть сам порт 3389 в инет

или natd

Код: Выделить всё

same_ports
redirect_port 192.168.0.55:3389 3389

или kernel nat (grep nat)

Код: Выделить всё

ipfw add nat config 123 if rl0 same_ports redirect_port 192.168.0.55:3389 3389
ipfw add nat ip from 192.168.0.1/24 to any via in rl0
ipfw add nat ip from any to IP(внешний) via out rl0

а уже потом

Код: Выделить всё

ipfw add allow tcp from any to any 3389

P.S.
rl0=интерфейс смотрит на Инет
192.168.0.55:3389=АйПи компа на котором РДП и РДП порт
192.168.0.1/24=Твоя подсеть
IP(внешний)=Малоли не понятно, внешний АйПи самой freeBSD

Потом собственно конектишся на внешний айпи по порту 3389 и он тя перекидывает на 192.168.0.55:3389
вот и всё

[princeps]

да тредстартеру, похоже, уже давно глубоко пофиг