Conexao com area de trabalho remota não Funciona

Iniciado por Diogo.Nery, 03 de Junho de 2009, 09:10

tópico anterior - próximo tópico

Diogo.Nery

Bom Galera

tenho um servidor proxy(Squid) funcionando corretamente, mas preciso dar acesso de conexão de area remota para meu servidor 2003 Server que se encontra dentro da rede( pois as vezes preciso acessar de casa ou mesmo outros usuário precisam), o que poderia fazer para liberar este acesso(sou iniciante, e estou gostando e querendo me aprofundar em servidores linux). Abaixo segue minhas configurações de nat, firewall e squid.


Squid

http_port 3128 transparent
visible_hostname Selling-Proxy

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/squid/access.log
refresh_pattern ^ftp:15 20% 2280
refresh_pattern ^gopher:15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
acl nomesproibidos dstdom_regex "/etc/squid/nomesproibidos"
http_access deny nomesproibidos

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all
cache_efective_user diogo
cache_efective_group diogo


NAT

modprobe iptables_nat
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FOWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss\
1400:1536 -j TCPMSS --clamp-mss-to-pmtu

Firewall

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j REDIRECT --to-port 3128


Att.

Diogo.Nery

Bom so para ajudar na compreesão, tentei acessar o servidor 2003 server(windows) pelo terminal de area remota, desabilitando o squid e deixando apenas a configuração de nat da internet, e mesmo assim não consegui acessar, então acho que o provavel problema esteja na configuração do nat ,que eu acho que mascara o ip da empresa ,assim não deixando que o servidor "DynDns" encontre o ip da rede e da maquina win 2003 server.

Alguem tem ideia de como posso resolver isso ?

Diogo.Nery


Gunfree

Se entendi o que você quer, a regra do teu iptables deve ser assim:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to
IP_DO_TEU_WINDOWS
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s IP_DE_ONDE_VOCE_VAI_ACESSAR -p tcp --dport 3389 -j ACCEPT

Considerando que o eth0 é o device que tem Internet, se for outro, mude para o correto.

Linux Registered User: #491793

Diogo.Nery

Citação de: Gunfree online 13 de Junho de 2009, 11:42
Se entendi o que você quer, a regra do teu iptables deve ser assim:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to
IP_DO_TEU_WINDOWS
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s IP_DE_ONDE_VOCE_VAI_ACESSAR -p tcp --dport 3389 -j ACCEPT

Considerando que o eth0 é o device que tem Internet, se for outro, mude para o correto.



Não teria uma forma que eu libere o acesso do terminal remoto para qualquer maquina , pois não seria so eu que entraria remoto, exite outros que também necessitaram .

Diogo.Nery

bom galera, eu tentei isso mas não funcionou :

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.100

192.168.1.100 - endereço windows Server 2003

so pra deixar um pouco mais explicado, gostaria de dar acesso de qualquer maquina na rede, caso eu precise entrar de qualquer lugar.

Diogo.Nery

#6
bom galera , nessas condições como eu faria para redirecionar todos as requisições da porta 3389 no meu proxy para a maquina  192.168.1.100 que se encontra dentro da rede interna

Diogo.Nery

bom galera, mais um vez me deparando com meu problema, estive pensando , sera que o que esta impossibilitando o acesso ao meu servidor seria o mascaramento da saida do proxy, tambem dando um olhada , reparei que no item citado abaixo :

eu uso : iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.100

ela esta apontando para a interface eth0 que é a interface que da acesso ao modem(roteador), sendo que a interface que é usado para ter acesso a internet é a ppp0, que é uma porta virtual criada pelo próprio servidor no momento da conneção.

o que vcs acham ?

Citar
bom galera, eu tentei isso mas não funcionou :

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.100

192.168.1.100 - endereço windows Server 2003

so pra deixar um pouco mais explicado, gostaria de dar acesso de qualquer maquina na rede, caso eu precise entrar de qualquer lugar.


Diogo.Nery

galera acho que deixei algo faltando, eu uso o dyndns para deixa o ip da minha maquina como se fosse fixo, talves seja esse o problema para não conseguir acessar meu servidor remoto .

Att.