redirecionamento iptables para porta 3389 [resolvido]

Iniciado por _ubuntu_, 17 de Dezembro de 2012, 11:55

tópico anterior - próximo tópico

_ubuntu_

Citação de: zekkerj online 18 de Dezembro de 2012, 10:02
Citarpra que serve isso ??echo 1 /proc/sys/net/ipv4/ip_forward
preciso realmente adicionar esse 1 para funcionar ?

Serve pra ativar o redirecionamento de pacotes. Sem isso os pacotes vão chegar em uma interface, mas não serão redirecionados pra outra.

-----------------

essa máquina onde vc está executando o firewall é mesmo a máquina do proxy?

sim a mesma maquina onde uso o proxy squid3 autenticado! porr... ???

zekkerj

Então só resta uma conclusão: suas conexões não estão chegando em seu servidor proxy. Hora de rever o caminho dos pacotes até o destino.

Revendo a primeira página, vc citou um computador cliente que está na mesma rede local que o servidor windows a ser acessado. Essa máquina consegue acessar a máquina windows usando o endereço da interface externa do proxy?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

_ubuntu_

Citação de: zekkerj online 18 de Dezembro de 2012, 10:02
Citarpra que serve isso ??echo 1 /proc/sys/net/ipv4/ip_forward
preciso realmente adicionar esse 1 para funcionar ?

Serve pra ativar o redirecionamento de pacotes. Sem isso os pacotes vão chegar em uma interface, mas não serão redirecionados pra outra.

-----------------

essa máquina onde vc está executando o firewall é mesmo a máquina do proxy?

Sim ela é a mesma maquina, e esta usando proxy squid3 autenticado e firewall iptables, minha rede esta como segue o link da imagem abaixo:
www.systemware.com.br/rede.png

entao é o seguinte, de outro local atravez da internet equero acessar o windows server 2003, sendo que o mesmo ja é possivel acessar mas somente na rede interna, e nao externa, os 3 computadores da rede, 'computador01, computador02 e server2003' todos conseguem acessar todos, tanto TS quanto compartilhamento normalmente. porem é como eu havia dito, nao consigo acessar de fora, e acredito que preciso de uma regra de firewall para consertar isso.

obrigado.

zekkerj

Então, cara: a partir da internet, vc tem o modem no meio do caminho, e pelo que você descreveu esse modem está roteado.

Você tem que se certificar de liberar essa porta no modem, redirecionando-a pro endereço externo do seu proxy.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

_ubuntu_

Citação de: zekkerj online 20 de Dezembro de 2012, 00:18
Você tem que se certificar de liberar essa porta no modem, redirecionando-a pro endereço externo do seu proxy.

sim amigo, mas é como esta na imagem, a porta que preciso que é a 3389 ja esta apontando para o ip 192.168.1.40 que é o proxy-firewall, e dentro dele coloquei as regras para redirecionamento atravez do iptables!....peço que analise na imagem a descrição do redirecionamento para constar se esta certo...ahhh


a porta 22 que esta apontando do modem para o servidor esta funcionando belezinha por conexao externa. sendo assim sei que esta liberado certo a 3389.

obrigado.

zekkerj

Então há a possibilidade da porta 3389 estar sendo bloqueada pelo seu provedor. Aliás, qual é?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

_ubuntu_

Citação de: zekkerj online 20 de Dezembro de 2012, 09:13
Então há a possibilidade da porta 3389 estar sendo bloqueada pelo seu provedor. Aliás, qual é?


meu provedor é a GVT.

Desculpe-me esqueci de informar...essa possibilidade de ser bloqueada pelo provedor esta descartada, pois esqueci de mensionar, o windows 2003 server FORA do proxy ou seja ligado deretamente ao modem esta fornecendo conexao TS normalmente!

existe a possibilidade de deixar a estrutura assim como abaixo??

nuvem>modem>swtich>servidor2003>
                           ᶫ->proxy+firewall>switch>computadores

e assim os computadores locais acessar o servidor2003??

sendo que ficaria assim entao...servidor2004 com ip 192.168.1.50

computador01 ip 10.1.1.2
computador02 ip 10.1.1.3

e eles conseguirem acessar o windows 2003 atravez de TS e compartilhamento ? existe essa possibilidade, pois ai resolveria o problema de TS.

Obrigado pela atenção!


zekkerj

Mesmo assim os pacotes não chegam na sua regra... os contadores não negam.

sudo iptables -t nat -L -v -n

sua regra de redirecionamento estava com contagem 0 da última vez que vc postou. Isso é sinal de que nenhum pacote foi redirecionado, isso só acontece pq eles não estão chegando aí.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

_ubuntu_

ja nao sei mais o que fazer...ja fiz de tudo...ja tentei todas as regras possiveis do iptables e até agora nada...ta dificil..vou fazer mais umas pesquisas no google...e outros testes.

Safetec

Eu já dei a resposta mas parece que você não leu... Você deve apontar no modem/router o ip de destino dos pacotes. Geralmente é um campo chamado DMZ.

_ubuntu_

Citação de: Safetec online 20 de Dezembro de 2012, 14:01
Eu já dei a resposta mas parece que você não leu... Você deve apontar no modem/router o ip de destino dos pacotes. Geralmente é um campo chamado DMZ.

nao sei exatamente para que serve DMZ mas fiz o seguinte:
www.systemware.com.br/dmz.png

e as portas estao assim:
www.systemware.com.br/nat.png

certo??

Arthur Bernardes

Aparentemente está certo..! E agora teste..?

Safetec

É isso mesmo amigo... As portas não tem efeito já que quando voê configura o IP todas as portas são direcionadas para o 192.168.1.40.


Sendo assim o ip citado recebendo os pacotes da internet vc pode configurar seu firewall para redireciona-los a seu bem entender.

_ubuntu_

Citação de: Safetec online 20 de Dezembro de 2012, 14:29
É isso mesmo amigo... As portas não tem efeito já que quando voê configura o IP todas as portas são direcionadas para o 192.168.1.40.


Sendo assim o ip citado recebendo os pacotes da internet vc pode configurar seu firewall para redireciona-los a seu bem entender.

usando essas regras abaixo de iptables:
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.1.1.50:3389
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT



obtive esse resultado:
root@proxy:/diogo# iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 1354 packets, 242K bytes)
pkts bytes target     prot opt in     out     source               destination
    2   120 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:10.1.1.50:3389

Chain POSTROUTING (policy ACCEPT 809 packets, 59802 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 809 packets, 59802 bytes)
pkts bytes target     prot opt in     out     source               destination

_ubuntu_