Flavio, A rede externa esta na eth1 ? E se estiver com ip externo fixo, faz um teste tirando o -i eth1 e colodo -s 0/0 -d 200.200.200.200 (onde seria o ip válido). Uma outra coisa você esta limpando a regra anterior ? Senão use o -I no lugar do -A.
Alex Paulo Laner aka rootsh 2009/12/24 Flavio Lopes <[email protected]> > Olá Alex, obrigado pela ajuda. > Então cara....por exemplo agora estou testando isso de fora da rede (onde > está o Server 2003)!...e como lhe disse, se usar a regra onde menciono a > "eth1" eu não consigo entrar! > > Em 24-12-2009 15:14, Alex Paulo Laner escreveu: > > Flavio, > > É o seguinte se a eth1 for seu link externo você tem que testar > externamente, pois a regra anterior independete de onde vier a conexão para > porta 3389 ele vai enviar para o $win2003. > Então se o cenário for esse teste externamente e use o tcpdump para > entender onde os pacotes estão indo. > > Alex Paulo Laner aka rootsh > > 2009/12/24 Flavio Lopes <[email protected]> > >> Olá lista! >> >> Atualmente tenho estas regras funcionando perfeitamente para liberar o >> acesso via Terminal Service para um servidor com Windows 2003 Server: >> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> >> Mas se eu substituir a segunda linha por: >> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível >> mais fazer a conexão!!! >> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só >> pra especificar qual interface (*"-i eth1"*) eu quero que fique >> "escutando" ??? >> >> Em resumo, se eu *substituir*: >> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> *por*: >> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> *pára* de funcionar o acesso! >> >> Alguém sabe me dizer porque acontece isso? >> >> grato, >> Flávio >> > > >
