Olá Alex, obrigado pela ajuda.
Então cara....por exemplo agora estou testando isso de fora da rede (onde está o Server 2003)!...e como lhe disse, se usar a regra onde menciono a "eth1" eu não consigo entrar!
Em 24-12-2009 15:14, Alex Paulo Laner escreveu:Flavio,
É o seguinte se a eth1 for seu link externo você tem que testar externamente, pois a regra anterior independete de onde vier a conexão para porta 3389 ele vai enviar para o $win2003.
Então se o cenário for esse teste externamente e use o tcpdump para entender onde os pacotes estão indo.
Alex Paulo Laner aka rootsh
2009/12/24 Flavio Lopes <flavio.linux@paradoxo.inf.br>
Olá lista!
Atualmente tenho estas regras funcionando perfeitamente para liberar o acesso via Terminal Service para um servidor com Windows 2003 Server:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389
Mas se eu substituir a segunda linha por:
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389
eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais fazer a conexão!!!
Qual a diferença entre estas duas linhas?...no caso da segunda, não era só pra especificar qual interface ("-i eth1") eu quero que fique "escutando" ???
Em resumo, se eu substituir:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389
por:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389
pára de funcionar o acesso!
Alguém sabe me dizer porque acontece isso?
grato,
Flávio