Переброс портов RDP

[Valbeshnik]

Понимаю что есть темы по такому вопросу но изучение не помогло в решении вопроса
Есть прокси с установленным IPCOP 1.4.21 без аадонов
RED интерфейс подключен к провайдеру через PPPoE имеет постоянный IP ХХХ.ХХХ.ХХХ.ХХХ
GREEN интерфейс смотрит в сеть с постоянным IP YYY.YYY.YYY.YYY
Есть Терминал сервер RDP с постоянным ZZZ.ZZZ.ZZZ.ZZZ
Адреса ZZZ.ZZZ.ZZZ.ZZZ и YYY.YYY.YYY.YYY из одной подсетки
NAT отключен, пользователи выходят в интернет используя данные YYY.YYY.YYY.YYY:8080

Пытаюсь организовать доступ из вне (RED интерфейс) к Терминальному серверу:
Открываю порт (пока стандартный) "Файрвол - внешний доступ"3389
Делаю перенаправление порта:  ip назначения:ZZZ.ZZZ.ZZZ.ZZZ Порт Назначения: 3389 

Сохраняю,пытаюсь подключиться, не пускает.
почему, решения не могу найти

[raven6]

Открываю порт (пока стандартный) "Файрвол - внешний доступ"3389

Этого делать не нужно. Удалите созданное в этом разделе правило. Внешний доступ, он - исключительно к маршрутизатору относится, т.е. описанные правилом пакеты в Green не попадают.
Просто настройте проброс порта 3389 (но лучше любого другого) на IP-адрес терминального сервера, порт 3389. После этого все должно работать.  Подключиться пытаетесь снаружи или из внутренней сети? Проверьте, не заблокирован ли порт на терминальном сервере.

[Valbeshnik]

Удалите созданное в этом разделе правило

Сделал

Просто настройте проброс порта 3389 (но лучше любого другого) на IP-адрес терминального сервера, порт 3389

Порт временный тестирую на время, потом ясно дело поменяю. Правило прописано, но не перебрасывает

Подключиться пытаетесь снаружи или из внутренней сети?

Из внешней сети пытаюсь подключиться во внутреннюю.

Update.
на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.

[raven6]

Только что проверил - с настройками проброса портов, аналогичными Вашим все работает. (Правило - во вложенном файле)
Как вариант - возможно провайдер блокирует порт 3389. Попробуйте-таки пробрасывать другой порт, например 36020. Подключаться к терминальному серверу в этом случае проще всего командой

Код: [Выделить]

mstsc /v:Red_IP:36020Еще один вариант - порт на самом терминальном сервере закрыт каким-нибудь софтовым брандмауэром (KIS, брандмауэр Windows и т.п.).

NAT отключен, пользователи выходят в интернет используя данные YYY.YYY.YYY.YYY:8080

NAT отключен каким образом? Правилами Iptables? Возможно именно в этом и кроется проблема.
По уму надо наверное кроме проброса порта еще прописать правило, что-то вроде
iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP
Где LOCAL_IP - IP-адрес терминального сервера
RED_IP - красный интерфейс Ipcop'а.

[Valbeshnik]

Только что проверил - с настройками проброса портов, аналогичными Вашим все работает.

Не пашет
Смена портов не помогла, из локалки цепляюсь "На Ура!"

Еще один вариант - порт на самом терминальном сервере закрыт каким-нибудь софтовым брандмауэром (KIS, брандмауэр Windows и т.п.).

Не используется,  я уже описывал

на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.

NAT отключен каким образом

В смысле не используется 

iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP

Не помогло...

Блин даже и не знаю в какую сторону копать

[raven6]

Не используется,  я уже описывал
Цитировать
на самом терминальном сервере порт открыт, до того как поставил IPCOP, стоял UBUNTU с форвардером портов rinetd, порты перебрасывались. Удаленный доступ работал.
но возникали некоторые проблемы с самой проксей, решений не нашлось, а IPCOP стоял до этого в других организациях и у меня проблем не вызывал.

У меня уверенности такой нет.
Попробуйте из интернета подключится telnet'ом к проброшенному на терминальный сервер порту, отдав из командной строки Windows команду

Код: [Выделить]

telnet red_ip 3389 где RED_IP - IP-адрес красного интерфейса Ipcop'а, а вместо 3389 нужно указать номер порта, который проброшен в Ipcop'е на порт 3389 терминального сервера.
Если соединение пройдет нормально, то появится окно с мигающим курсором в правом верхнем углу. Его можно закрыть и копать в сторону настроек RDP-клиента.  Если подключение не удастся, то будет выдано сообщение, что-то вроде
Подключение к x.x.x.x...Не удалось открыть подключение к этому узлу, на порт 3389: Сбой подключения
Это значит что порт закрыт, и, скорее всего, это происходит на терминальном сервере. Допустим в фаерволле задано правило, разрешающее доступ по порту 3389 только определенным IP, в список которых Green Ipcop'а не входит.

[Valbeshnik]

Вообщем попробовал с другой машины в локальной сети приконектится через telnet к терминальному серверу- > ОК
Пробую удаленно достучатся до порта telnet-ом до порта 3389 - > FALL
Пробую удаленно достучатся до порта telnet-ом до порта на котором крутится WEB-интерфейс (IP_RED:445) - > ОК

Думаю что IPCOP блокирует порт 3389, где копать?

Допустим в фаерволле задано правило, разрешающее доступ по порту 3389 только определенным IP, в список которых Green Ipcop'а не входит.

фаерволл на терминале полностью выключен.

UPDATE
на 2ip.ru проверяю порт 445(web) и 222(ssh) они открыты
3389 закрыт

[raven6]

Я уже окончательно запутался.
Вы сейчас находитесь в зеленой сети IPCop'а или нет?
Порт 445 и 222 Ipcop'а  Вы наружу открыли?
IP-адрес, указанный у Вас в правиле, тот который на скрине - это точно локальный IP Вашего терминального сервера или это RED IPCop'а?

[Valbeshnik]

Вы сейчас находитесь в зеленой сети IPCop'а или нет?

Проверяю порты, подключаясь средствами TeamViewer 6 к локальной машине на работе, которая находится в зеленой сетке. и с рабочей машины проверяю через браузер.
Сам нахожусь соответственно за красным интерфейсом. и пытаюсь подключится к терминальному серверу находящимуся за IPCOP в зеленой зоне

Порт 445 и 222 Ipcop'а  Вы наружу открыли?

да открыты (интересно что пытаюсь открыть другие порты и они оказываются заблокированными)

IP-адрес, указанный у Вас в правиле, тот который на скрине - это точно локальный IP Вашего терминального сервера или это RED IPCop'а?

это IP терминального сервера

[raven6]

По пунктам.
1)Удалите все правила кроме правил о 445 и 222 портах из раздела Файрвол - внешний доступ веб-интерфейса.
2)Удалите все правила проброса портов, за исключением того, которое нужно TeamViewer'у
3)Удалите правило, о котором я писал выше. То, которое

iptables -t nat -A POSTROUTING -p tcp -d LOCAL_IP --dport 3389 -j SNAT --to-source RED_IP

.
4)Перезапустите IpCop (на всякий пожарный).
5)Установите на Ipcop аддон nmap отсюда.
6)Зайдите на Ipcop по SSH и выполните команду:

Код: [Выделить]

nmap -p 3389 IP_терминального_сервераВ ответ по идее Вы должны получить что-то вроде

Код: [Выделить]

Interesting ports on 192.168.1.2:
PORT     STATE SERVICE
3389/tcp open  ms-term-servЕсли статус порта - filtered, значит что-то на Вашем терминальном сервере не дает Ipcop'у получить доступ к этому порту.
Если статус порта - open, значит Ipcop может до этого порта достучаться. Тогда продолжаем
6)Настройте проброс порта 35020 на порт 3389 терминального сервера в разделе Фаерволл-перенаправление портов.
6)Попробуйте подключиться к терминальному серверу с помощью RDP-клиента. 
Для rdp-клиента Win XP SP3 это проще всего сделать командой

Код: [Выделить]

mstsc /v:Red_IP:35020

[Valbeshnik]

1. Сделал по пунктам 1-4

2. Сделал по пунктам 4-6

Starting Nmap 5.00 ( http://nmap.org ) at 2011-04-13 12:04 CEST
Interesting ports on  (172.16.13.1):
PORT     STATE SERVICE
3389/tcp open  ms-term-serv
MAC Address: 00:18:8B:E6:CB:AC (Dell)

3. Сделал по пункту 7

4. Подключаюсь (Windows 7): Fall 

Потряс провайдера, он сказал что все ок!, он блокировкой портов не занимается.

[raven6]

Проверьте тем же 2ip.ru порт 35020, он должен быть открыт.

4. Подключаюсь (Windows 7): Fall

Как терминальный клиент настраиваете? У семерки параметры командной строки mstsc могут отличаться от XP.

[Valbeshnik]

Проверьте тем же 2ip.ru порт 35020, он должен быть открыт.

Какой бы порт не открывал [35020 или 35000] (перенаправление портов) порт заблокирован.
Работаю только те порты которые указанны в "Внешний доступ"
Режет где-то на уровне файерволла

[Valbeshnik]

Подключаюсь указывая в строке подключения IP_REd:Port
Из точки подключения к IP_REd прокси не стоит и файервол выключен на время теста

[raven6]

В консоли Ipcop'а отдайте команду

Код: [Выделить]

iptables -L > iptab.txtСодержимое файла iptab.txt выложите сюда.