最近、ホームネットワークのDebianサーバーにクライアントVPNをインストールしました。ネットワークの一部のデバイスの別のゲートウェイとして使用したいと思います。これは私が成功したので、すべて良いです。ちょうどあなたに背景の物語を提供したいと思いました。
これで、iptables -P INPUT DROPを使用しない限り、VPN経由でWAN経由で接続できるRDPサーバー(WS 2019)があります。しかし、ポートフォワーディングを使用していますが、なぜこれらのポートが機能しないのかを混乱させます。私は昨日iptablesを使い始めたので、これはおそらく非常に明白なことですが、Googleで検索する方法がわかりません。
私の設定:
$ iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11111
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
$ iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11111 to:192.168.0.50:3389 <-(RDP server)
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 0.0.0.0/0 to:[my public VPN IP]
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
明らかに、すべてが再び機能するようにする必要がある唯一のことは、「入力」ポリシーを「受け入れ」に設定することでしたが、WAN用のルーターだったので、そうしたくありませんでした。
それでは、INPUTのポリシーは順方向チェーントラフィックも定義しますか? DROPポリシーを使用し、まだ11111トラフィックをローカルRDPサーバーの3389に転送できるようにこの問題を解決するにはどうすればよいですか?
ベストアンサー1
トラフィックが実際に Windows Server に到達するかどうかを確認するには、パケットがドロップされる前に書き込まれるように、ファイアウォール スクリプトの末尾に「-J LOG」を追加することをお勧めします。パッケージが削除されることが表示されない場合は、Windowsファイアウォールがそのパッケージを削除している可能性があります。また、この設定が進行中の作業かもしれませんが、ファイアウォールでFORWARDチェーンのデフォルトターゲットとしてACCEPTを使用することはまったくお勧めできません。これは非常に危険な可能性があるためです。また、ターミナルサービスログ(場所は不明)を確認して、Windowsが何らかの理由で接続が切断されずに受信されていることを確認することもできます。
お役に立てば幸いです。