Acesso ssh externo ubuntu [Resolvido]

christopherpersaud · 01 de Dezembro de 2011, 18:27

olá bom dia.. tenho um servidor ubuntu que pega acesso a internet em um roteador d-link q faz a discagem.. e do roteador manda pro ubuntu... eu ativei o dmz no roteador e ta funcionando.. eu fiz um redirecionamento pra um pc da minha rede interna na porta 3389 q eh o terminal service e funcionou, eu usei essa linha:

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2
onde eth1 eh a rede de internet e 192.168.0.2 eh o ip do pc q eu quero acesso atraves do terminal service

esta funcionando.. assim quero dizer q em relacao a configuração de roteador e configuracao de iptables ta certo...

minha duvida e qual linha no iptables eu uso pra ter acesso externo pela porta 22 no proprio servidor.. direcionar pra ele mesmo.. tentei algumas formas mas nao deu certo...
Alguem pode ajudar por favor!!

Obrigado, Aguardo retorno!

zekkerj · 01 de Dezembro de 2011, 22:27

Direcionar pra si mesmo? Pq vc vai direcionar, se o pacote já está em sua máquina?

Em teoria basta aceitar o pacote quando ele entra na máquina. Isso é feito em outra cadeia do iptables, a cadeia "filter". O comando pra isso seria

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Veja que eu não usei o "-t nat", na verdade não usei nenhum "-t". Isso é a mesma coisa que usar "-t filter".

Mas veja só, não basta executar esse comando, precisa ver se há outros comandos já aplicados que podem influir no funcionamento do filtro. A ordem dos comandos é tudo pro iptables, já que quando um comando da cadeia é executado, nenhum outro que venha depois vai ser executado.

Então, mostre o resto do seu script de firewall pra gente poder te recomendar onde vc colocará essa regra.

christopherpersaud · 02 de Dezembro de 2011, 10:30

aqui vai as minhas regras e nao tava essa linha q tu me passou e adicionei agora..e mesmo assim nao funcionou.

#!/bin/sh
echo "Ativando regras modificadas"

REDE_INTERNA="192.168.0.0/24"
IP_INTERFACE_EXT="192.168.1.2"
INTERFACE_EXT="eth1"

# Carrega os modulos
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe iptable_nat

#Limpa tudo
iptables -F FACEBOOK
iptables -F FORWARD
iptables -X FACEBOOK
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# Aceitando conexao ssh pela wan
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Bloqueia Scan
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloquear MSN
#iptables -A FORWARD -p TCP --dport 1863 -j REJECT

# Protecao contra worms
iptables -A FORWARD -p tcp --dport 135 -i $REDE_INTERNA -j REJECT

#Protecao contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Protecao contra syn-flood
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

# Protecao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Redirecionando Terminal Service ao ip expecifico na rede interna
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

# NAT POR MAQUINA
iptables -A INPUT -s 192.168.0.5 -j ACCEPT #Servidor de Dominio
iptables -A INPUT -s 192.168.0.87 -j ACCEPT #Note Charles
iptables -A INPUT -s 192.168.0.54 -j ACCEPT #Note Francisco
iptables -A INPUT -s 192.168.0.67 -j ACCEPT #Iphone Charles
iptables -A INPUT -s 192.168.0.100 -j ACCEPT #TI002
iptables -A INPUT -s 192.168.0.101 -j ACCEPT #Notebook_Ronylton
iptables -A INPUT -s 192.168.0.102 -j ACCEPT #TI001
iptables -A INPUT -s 192.168.0.86 -j ACCEPT #TI003
iptables -A INPUT -s 192.168.0.104 -j ACCEPT #Iphone Ronnylton
iptables -A INPUT -s 192.168.0.105 -j ACCEPT #RECEPCAO_OFIC01
iptables -A INPUT -s 192.168.0.106 -j ACCEPT #RECEPCAO_OFIC02
iptables -A INPUT -s 192.168.0.115 -j ACCEPT #GARANTIA001
iptables -A INPUT -s 192.168.0.125 -j ACCEPT #GER_SERVICO01
iptables -A INPUT -s 192.168.0.126 -j ACCEPT #GER_SERVICO02
iptables -A INPUT -s 192.168.0.135 -j ACCEPT #APONTADOR001
iptables -A INPUT -s 192.168.0.136 -j ACCEPT #ESTOQUEPECAS
iptables -A INPUT -s 192.168.0.137 -j ACCEPT #Pecas
iptables -A INPUT -s 192.168.0.138 -j ACCEPT #CAIXA
iptables -A INPUT -s 192.168.0.155 -j ACCEPT #Vendas01
iptables -A INPUT -s 192.168.0.156 -j ACCEPT #Vendas02
iptables -A INPUT -s 192.168.0.157 -j ACCEPT #Vendas03
iptables -A INPUT -s 192.168.0.158 -j ACCEPT #Vendas04
iptables -A INPUT -s 192.168.0.159 -j ACCEPT #Vendas05
iptables -A INPUT -s 192.168.0.170 -j ACCEPT #telefonista
iptables -A INPUT -s 192.168.0.169 -j ACCEPT #Adm001
iptables -A INPUT -s 192.168.0.171 -j ACCEPT #Assistente_Financeiro
iptables -A INPUT -s 192.168.0.172 -j ACCEPT #AuxiliarDiretoria
iptables -A INPUT -s 192.168.0.175 -j ACCEPT #GerenteFinanceiro
iptables -A INPUT -s 192.168.0.176 -j ACCEPT #GerFinanceiro
iptables -A INPUT -s 192.168.0.195 -j ACCEPT #NETTAI_SHOWROOM
iptables -A INPUT -s 192.168.0.196 -j ACCEPT #Nettai_TI
iptables -A INPUT -s 192.168.0.254 -j ACCEPT #Servidor de Internet

# Bloqueando tudo
iptables -A INPUT -s 192.168.0.0/24 -j DROP

# Compartilhando internet
# placa de rede eth1=rede de internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Proxy Transparente - Redireciona todo trafego da porta 80 pra porta 3128
# placa de rede eth0=rede interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Bloqueando Facebook por https
iptables -N FACEBOOK
iptables -I FORWARD -s $REDE_INTERNA -j FACEBOOK
for i in `cat /etc/facebook.txt`;do
iptables -A FACEBOOK -d $i -j REJECT
#Liberando o bloqueio do Facebook pros pcs abaixo
iptables -I FORWARD -s 192.168.0.100 -d $i -j ACCEPT #TI002
iptables -I FORWARD -s 192.168.0.102 -d $i -j ACCEPT #TI001
iptables -I FORWARD -s 192.168.0.101 -d $i -j ACCEPT #Notebook Ronnylton
iptables -I FORWARD -s 192.168.0.104 -d $i -j ACCEPT #Iphone Ronnylton
iptables -I FORWARD -s 192.168.0.195 -d $i -j ACCEPT #NETTAI_SHOWROOM
done

zekkerj · 02 de Dezembro de 2011, 12:12

É um firewall bem complexo, esse. Interessante, mas no meu entendimento está incompleto... não libera tráfego de retorno, não libera conexões de loopback, não trata das exceções de segurança...

Outro problema que pode acontecer aí é bloqueio da operadora às portas conhecidas. Se isso estiver acontecendo, vc terá que usar outra porta em vez de 22 pras conexões SSH.

christopherpersaud · 02 de Dezembro de 2011, 19:40

pra mudar eu tenho q mudar no proprio sshd.conf ??

fazendo isso vai mudar pra acessar pela rede interna tambem??

zekkerj · 02 de Dezembro de 2011, 22:59

Dá pra escutar as duas portas, assim vc não precisa mudar a rede interna.

christopherpersaud · 03 de Dezembro de 2011, 11:02

Como faço isso lah no sshd.config eu adiciono uma outra linha em baixo do Port 22, eu coloco Port 5530, com as duas linhas?

zekkerj · 03 de Dezembro de 2011, 12:35

Sim.

christopherpersaud · 03 de Dezembro de 2011, 13:22

Realmente deu certo.. adicionei uma porta alta e deu certo acessei remotamente, e nao precisou criar nenhuma regra no iptables, soh ativando o dmz do roteador mesmo pra porta wan do servidor!

Vlw, Obrigado a todos q postaram e me ajudaram!