Я решил поиграться с iptables, и я пока в этом деле новичок. Пытаюсь использовать его как брандмауэр. Моя цель — перенаправить порт RDP-сервиса со стороны локальной сети. Вот мой сценарий:
ens32 — это интерфейс WAN, ens33 — это интерфейс LAN, 10.9.3.1 принадлежит подсети LAN, это хост, к службе RDP которого должен быть доступ через WAN.
Моя идея была следующей: первым правилом я хотел отклонить весь трафик вообще. Второе правило разрешает связанные и установленные соединения по WAN. Третье правило разрешает исходящий трафик RDP, и последнее — правило переадресации порта dstnat.
Моя проблема в том, что если первое правило активно, то переадресация портов не работает. Работает только если я отключаю правило отклонения. Думаю, я что-то упустил. Вот моя конфигурация:
-A PREROUTING -i ens32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.9.3.1:3389
-A FORWARD -i ens33 -s 10.9.3.1/32 -p tcp -m tcp -o ens32 -d 0.0.0.0/0 --dport 3389 -j ACCEPT
-A FORWARD -i ens32 -o ens33 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
Заранее спасибо!