VNC skrz firewall
Martin Kamín ZULU
martinkamin na quick.cz
Středa Říjen 6 22:45:57 CEST 2004
On 06. Oct, 05:49 PM CEST, Borek Lupomesky <borek na lupomesky.cz> wrote 26 lines:
> Ahoj,
>
> Ma dve Windows 2000 stroje, jeden je za mnou kontrolovanym firewallem/NATem bezicim na Linuxu, druhy stroj je "venku" a je to zase Win2K. VNC je cerstve stazene z oficialniho webu.
> Abych VNC propustil dovnitr, pouziju na fw/NAT masine DNAT. Zvenku ma byt VNC pristupne na nestandardnim portu 21.
>
> iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 192.168.0.1:5900
>
> Toto presmerovani funguje korektne, coz lze overit i telnetem:
>
> ld01ad06:~$ telnet 194.149.x.x 21
> Trying 194.149.x.x...
> Connected to 194.149.x.x.adsl.nextra.cz.
> Escape character is '^]'.
> RFB 003.008
> ^]
> telnet> q
> Connection closed.
>
> Nicmene kdyz na klientske stanici pustim VNCviewer s parametrem 194.149.x.x::21, tak VNCviewer zustane nejak viset. Nic nenahlasi, ale taky nic nedela.
> Nevite, kde by mohl byt problem? Zkousel jsem tcpdumpovat traffic a nikde zadny problem nevidim. Napada mne posledni vec, ze VNC nesnasi NAT, ze ma uvnitr sveho protokolu schovane IP adresy.
>
Omlouvám se, pokud to nebude odborně na výši, ale dělám to tak, že si udělám
ssh tunel na server:
xterm -e "ssh -C -X -l username -L 5902:localhost:5901 X.X.X.X"
a pak se pres nej a port 5902 z lokálního stroje pripojim na vncserver
běžící na portu 5901 (každý další vncserver použije další a další porty).
Takže:
vncviewer -depth 8 localhost:2
FW má pak otevřený jediný port 22 ukončený na serveru
MK
Další informace o konferenci Linux