Ich habe mich entschieden, mit iptables zu spielen, und bin im Grunde noch neu darin. Ich versuche, es als Firewall zu verwenden. Mein Ziel ist es, einen RDP-Dienst von der LAN-Seite aus weiterzuleiten. Hier ist mein Szenario:
ens32 ist die WAN-Schnittstelle, ens33 ist die LAN-Schnittstelle, 10.9.3.1 gehört zum LAN-Subnetz, es ist der Host, auf dessen RDP-Dienst über das WAN zugegriffen werden soll.
Meine Idee war folgende: Mit der ersten Regel wollte ich allen Datenverkehr generell ablehnen. Die zweite erlaubt die entsprechenden und bestehenden Verbindungen über das WAN. Die dritte erlaubt den ausgehenden RDP-Datenverkehr und die letzte ist die Regel zur Dstnat-Portweiterleitung.
Mein Problem ist, dass die Portweiterleitung nicht funktioniert, wenn die erste Regel aktiv ist. Sie funktioniert nur, wenn ich die Ablehnungsregel deaktiviere. Ich glaube, ich habe etwas übersehen. Hier ist meine Konfiguration:
-A PREROUTING -i ens32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.9.3.1:3389
-A FORWARD -i ens33 -s 10.9.3.1/32 -p tcp -m tcp -o ens32 -d 0.0.0.0/0 --dport 3389 -j ACCEPT
-A FORWARD -i ens32 -o ens33 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
Dank im Voraus!