看了《如何实现Linux防火墙让远程办公更安全》后引发的问题

Question

看了《如何实现Linux防火墙让远程办公更安全》一文后。我试着学做了一下，有以下几个问题请教：
先说一下我的环境：
　　eth0:内网　网段：192.168.0.0/24　网关：192.168.0.1
　　eth1:连接ADSL
　　我的上网方式是FC4+IPTABLES+SQUID实现的透明代理。
　　我的需求是在LINUX下通过ADSL的动态公网IP地址＋WIN2003的远程桌面实现远程办公。
问题如下：
　　　一、是不是采用我这种网络环境不能实现兄台所讲的远程办公？
　　　二、用iptables设置DNAT功能，可否这样iptables -t nat -A PREROUTING -p tcp -s ! 192.16　　　　　　8.0.0/24 --dport 3389 -j DNAT --to 192.168.0.105:3389?
　　　　　其中3389是WIN2003的远程桌面默认端口;192.168.0.105是我要远程操作的内网主机。

Answer 1

若是 ADSL 接入的话，在拨通以后会获得一个 ppp0 设备，因此可以针对这个公网接口做映射
若转换以后端口不变的话，可以省略后面的端口号
因此上面的可以写成

2. iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.0.105

复制代码

Answer 2

谢谢了。我试一下，随后跟贴。

Answer 3

版主按您的指导，远程桌面连接不成功！
我的配置如下：再请您指导一下！谢谢
#!/bin/sh
echo "starting ip_forward"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "starting iptables rules"
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
/sbin/iptables -F -t nat
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.0.105
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

Answer 4

请先确认以下几点
1、您的 192.168.0.105 的网关设置的是这台 Linux 吗？
2、您的 192.168.0.105 通过这台 Linux 可以上网吗？
3、您的 192.168.0.105 开了 3389 服务吗？

Answer 5

确认：
1、我的 192.168.0.105 系统是WIN2003,内网主机，远程办公的被控端。
2、我的 192.168.0.105 通过LINUX网关192.168.0.1可以上INTERNET.
3、我的 192.168.0.105 已开通3389 服务，在内网下输入IP:192.168.0.105可以登录。

请您多指导！谢谢！

Answer 6

补充：
eth0＝内网，网关为192.168.0.1
eth1=ADSL拨号所用网卡
我在MS远程桌面连接窗口中输入的IP地址＝ADSL拨号后取得的公网IP。
eth0      Link encap:Ethernet  HWaddr 00:E0:4C:02:80:7B
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe02:807b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20545 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19928 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6380225 (6.0 MiB)  TX bytes:15260603 (14.5 MiB)
          Interrupt:11 Base address:0xec00

eth1      Link encap:Ethernet  HWaddr 00:0D:87:25:56:75
          inet6 addr: fe80::20d:87ff:fe25:5675/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20999 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21328 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:15485415 (14.7 MiB)  TX bytes:6542832 (6.2 MiB)
          Interrupt:10 Base address:0xe800
ppp0      Link encapoint-to-Point Protocol
          inet addr:125.92.163.114  P-t-P:125.92.160.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:20852 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21178 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:15015648 (14.3 MiB)  TX bytes:6072184 (5.7 MiB)

Answer 7

请叙述一下是如何不能工作的，您是如何测试的

Answer 8

我不能贴图呀！若是能贴就简单了。
我口述一下：
我查到ppp0的公网地址，将此地址输入到远程桌面连接的窗口中。点连接按钮，提示如下：
客户端无法远程连接到远程计算机。。。。。
我输入内网的IP：192.168.0.105可以正常远程登录。。
我个人觉得问题应该出在LINUX网关服务器上。研究中。。。。

Answer 9

原帖由 star0395 于 2006-8-23 22:57 发表
我不能贴图呀！若是能贴就简单了。
我口述一下：
我查到ppp0的公网地址，将此地址输入到远程桌面连接的窗口中。点连接按钮，提示如下：
客户端无法远程连接到远程计算机。。。。。
我输入内网的IP：192.168.0 ...

那么我再追问一句，您是在外网测试的呢？还是在内网？
那条语句只对从外网进来的数据包有效，而根据您的叙述，仿佛是在内网测试的