Acesso Externo

wizarded
(usa CentOS)

Enviado em 23/03/2015 - 10:34h

Bom dia Pessoal,

Gostaria, que se possivel, vocês pudessem me ajudar.

Tenho uma rede com a seguinte estrutura, 1 Firewall ( CentOS ), 2 Servidores AD ( Windows server 2008 ), 1 Servidor Sistema ( Windows Server 2008 ).

Tenho uma internet banda larga da GVT com ip dinâmico.

Necessito configurar um acesso externo para o Servidor do Sistema pelas portas 8181, 8282, 8383.

Instalei o noip no CentOS, consigo pingar de fora e cai no ip certo, mas quando vou acessar não consigo.

Não consigo acessar o sistema por essas portas, não consigo acessar o SSH via externo, não consigo acessar o WebMin, não consigo acessar nada de fora.

Se os senhores puder me ajudar, eu agradeço.

danniel-lara
(usa Fedora)

Enviado em 23/03/2015 - 10:35h

no modem adsl
como a DMZ para o ip do firewall
o ip qe esta ligado o firewall ao modem

wizarded
(usa CentOS)

Enviado em 23/03/2015 - 23:03h

Vlw ai pela resposta, tinha feito isso e esqueci de reiniciar o modem, fiz e reinicie e deu certo, mas somente para os pacotes que vão para o firewall.

Como eu poderia fazer para redirecionar os pacotes da porta 8181 para o Servidor ?

danniel-lara
(usa Fedora)

Enviado em 24/03/2015 - 08:18h

posta ai as suas regras de firewall

wizarded
(usa CentOS)

Enviado em 24/03/2015 - 19:50h

#! /bin/sh
# Copyright (c) 2013.
#
# Author: COMSET - Comércio e Serviços em Telecomunicações LTDA
#
# chkconfig: 2345 90 10
# description: start e stop Firewall
# config: /etc/sysconfig
#
# Source function library.
if [ -f /etc/init.d/functions ] ; then
. /etc/init.d/functions
elif [ -f /etc/rc.d/init.d/functions ] ; then
. /etc/rc.d/init.d/functions
else
exit 0
fi
/usr/bin/clear
echo 'Copyright (c) 2013. Author: COMSET - Comércio e Serviços em Telecomunicações LTDA'

echo ''
echo ''
echo '


'

# IP da Rede
NETWORK=192.168.0.0/24

# Interface da Rede Local - LAN
ILAN=eth1

# Interface da Rede Externa - Internet
INET=eth0
INET2=eth2

IPT=/sbin/iptables

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_mark
/sbin/modprobe ipt_MARK

INTERNET () {
# Mascaramento
$IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $INET2 -s $NETWORK -j MASQUERADE

# Ativando o redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
}

LIMPAR () {
# Removendo regras
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Apagando chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Zerando contadores
$IPT -Z
$IPT -t nat -Z
$IPT -t mangle -Z
}

PARAR () {
# Limpando regras
LIMPAR

# Política Padrão
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# Compartilhando a Internet
INTERNET
}

INICIAR () {
# Limpando regras
LIMPAR

# Política Padrão
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Compartilhando a Internet
INTERNET

########################## ATRIBUINDO SEGURANÇA ##########################

# Proteção para SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Rejeitar requisição de ICMP Echo destinado a Broadcasts e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ignorar Mensagens Falsas de icmp_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do
# Não Redirecionar Mensagens ICMP
echo 0 > $i/accept_redirects

# Proteção a Ataques IP Spoofing
echo 0 > $i/accept_source_route

# Permitir que Pacotes Forjados sejam logados pelo próprio kernel
echo 1 > $i/log_martians

# Verificar Endereço de Origem do Pacote (Proteção a Ataques IP Spoofing)
echo 1 > $i/rp_filter
done

#################### ADICIONANDO REGRAS P/ SERVIDORES ####################

echo -en Apache - Servidor Web
$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
echo [Ok]

echo -en Apache TomCat - Servidor Web
$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT
echo [Ok]

echo -en Bind9 - Servidor DNS
$IPT -A INPUT -p udp --dport 53 -j ACCEPT
echo [Ok]

# DanGuardian - Servidor Proxy
#$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT

# DHCP - Servidor DHCP
#$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT

# IPP - Protocolo de Impressão na Internet
#$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT

# NFS - Servidor NFS
#$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT
#$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT

# ProFTP - Servidor FTP
#$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT

echo -en Postfix - Servidor de E-mail
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT
echo [Ok]

# PostgreSQL - Servidor Postgresql
#$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT

# Samba - Serviços de Diretório da Microsoft
#$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 445,139 -j ACCEPT
#$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT

echo -en Squid - Servidor Proxy
$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT
echo [Ok]

echo -en Avast Administration
$IPT -A INPUT -i $ILAN -p tcp --dport 8731 -j ACCEPT
echo [Ok]

echo -en SSH - Servidor SSH
$IPT -A INPUT -i $ILAN -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 300 --hitcount 10 -j DROP
$IPT -A INPUT -i $ILAN -p tcp --dport 2222 -m state --state NEW -m recent --set
$IPT -I INPUT -p tcp --dport 2222 -j ACCEPT
echo [Ok]

echo -en VNC - Servidor de Acesso Remoto
$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT
$IPT -A INPUT -p tcp --dport 5938 -j ACCEPT
echo [Ok]

echo -en Webmin - Gerenciador Web de Servidor
$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 10000 -j ACCEPT
$IPT -A INPUT -i $INET2 -p tcp --dport 10000 -j ACCEPT
echo [Ok]

echo -en TED - Transferência Eletrônica de Dados
$IPT -A FORWARD -p tcp --dport 8017 -j ACCEPT
$IPT -A FORWARD -p udp --dport 8017 -j ACCEPT
$IPT -A FORWARD -p tcp --sport 8017 -j ACCEPT
$IPT -A INPUT -p tcp --dport 8017 -j ACCEPT
echo [Ok]

##################### ADICIONANDO REGRAS P/ SERVIÇOS #####################

echo -en DNS - Serviço de Nomes de Dominios
$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p udp -m multiport --dports 53,5353 -j ACCEPT
echo [Ok]

echo -en FTP - Protocolo de Transferência de Arquivo
$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 21 -j ACCEPT
echo [Ok]

echo -en HTTP - Protocolo de Transferência de Hypertext
$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp -m multiport --dports 80,8080 -j ACCEPT
echo [Ok]

echo -en HTTPS - Protocolo de Transferência de Hypertext Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 443 -j ACCEPT
echo [Ok]

# MSNMS - Serviço de Mensageiro de Rede da Microsoft
#$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT
#$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT

# NTP - Protocolo para sincronização dos relógios
#$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT

echo -en Ping
$IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p icmp --icmp-type 8 -j ACCEPT

echo -en POP3 - Protocolo de Correio
$IPT -A INPUT -p tcp --dport 110 -j ACCEPT
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 110 -j DNAT --to 192.168.0.250:110
$IPT -t nat -A PREROUTING -i $INET2 -p tcp --dport 110 -j DNAT --to 192.168.0.250:110
$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 110 -j ACCEPT
$IPT -A OUTPUT -o $INET -p tcp --dport 110 -j ACCEPT
$IPT -A OUTPUT -o $INET2 -p tcp --dport 110 -j ACCEPT
echo [Ok]

echo -en POP3S - Protocolo de Correio Seguro
$IPT -A INPUT -p tcp --dport 995 -j ACCEPT
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 995 -j DNAT --to 192.168.0.250:995
$IPT -t nat -A PREROUTING -i $INET2 -p tcp --dport 995 -j DNAT --to 192.168.0.250:995
$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 995 -j ACCEPT
$IPT -A OUTPUT -o $INET -p tcp --dport 995 -j ACCEPT
$IPT -A OUTPUT -o $INET2 -p tcp --dport 995 -j ACCEPT
echo [Ok]

# PPTP - Protocolo de Encapsulamento Ponto a Ponto
#$IPT -A FORWARD -o $INET -p tcp --dport 1723 -j ACCEPT

echo -en RDP - Protocolo de Área de Trabalho Remota
$IPT -A FORWARD -o $INET -p tcp --dport 3389 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 3389 -j ACCEPT
echo [Ok]

# SSDP - Protocolo para Descoberta de Serviços Simples
#$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT

echo -en SSH - Shell Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 2222 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 2222 -j ACCEPT
echo [Ok]

echo -en SMTP - Protocolo Simples para Transferência de Correio
$IPT -A INPUT -p tcp --dport 587 -j ACCEPT
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 587 -j DNAT --to 192.168.0.250:587
$IPT -t nat -A PREROUTING -i $INET2 -p tcp --dport 587 -j DNAT --to 192.168.0.250:587
$IPT -A FORWARD -o $INET -p tcp --dport 587 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 587 -j ACCEPT
$IPT -A OUTPUT -o $INET -p tcp --dport 587 -j ACCEPT
$IPT -A OUTPUT -o $INET2 -p tcp --dport 587 -j ACCEPT
echo [Ok]

echo -en SSMTP - Protocolo Simples para Transferência de Correio Seguro
$IPT -A INPUT -p tcp --dport 465 -j ACCEPT
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 465 -j DNAT --to 192.168.0.250:465
$IPT -t nat -A PREROUTING -i $INET2 -p tcp --dport 465 -j DNAT --to 192.168.0.250:465
$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT
$IPT -A FORWARD -o $INET2 -p tcp --dport 465 -j ACCEPT
$IPT -A OUTPUT -o $INET -p tcp --dport 465 -j ACCEPT
$IPT -A OUTPUT -o $INET2 -p tcp --dport 465 -j ACCEPT
echo [Ok]

# TELNET
#$IPT -A FORWARD -o $ILAN -p tcp --dport 23 -j ACCEPT

echo -en VNC - Computação em Rede Virtual
$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT
$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT
echo [Ok]

# XMPP - Protocolo de Presença e Mensagens Extensiva
#$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT

# Manter Conexões Estabelecidas
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando o Tráfego na Interface loopback
$IPT -A INPUT -i lo -j ACCEPT

################################ EXTRAS ##################################

echo -en Encaminhando pacotes para Servidor AD
$IPT -A INPUT -i $ILAN -p tcp --dport 3389 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 3389 -j ACCEPT
$IPT -A INPUT -i $INET2 -p tcp --dport 3389 -j ACCEPT
$IPT -t nat -A PREROUTING -i $ILAN -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.1:3389
echo [Ok]

echo -en Encaminhando pacotes para Servidor Compusa
$IPT -A INPUT -i $ILAN -p tcp --dport 8181 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 8181 -j ACCEPT
$IPT -A INPUT -i $INET2 -p tcp --dport 8181 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp --dport 8282 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 8282 -j ACCEPT
$IPT -A INPUT -i $INET2 -p tcp --dport 8282 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp --dport 8383 -j ACCEPT
$IPT -A INPUT -i $INET -p tcp --dport 8383 -j ACCEPT
$IPT -A INPUT -i $INET2 -p tcp --dport 8383 -j ACCEPT
$IPT -t nat -A PREROUTING -d 192.168.25.10 -p tcp --dport 8181 -j DNAT --to 192.168.0.250:8181
echo [Ok]

echo -en Liberando Interno
$IPT -I INPUT -s $NETWORK -j ACCEPT
echo [Ok]

echo -en Liberando Saida Proxy
$IPT -I INPUT -s $NETWORK -p tcp --dport 8080 -j ACCEPT
echo [Ok]

echo -en Proxy Transparente
$IPT -t nat -A PREROUTING -i $ILAN -p tcp -s $NETWORK --dport 80 -j REDIRECT --to-port 8080
echo [Ok]

echo -en Liberando Rede Interna
$IPT -A POSTROUTING -t nat -s $NETWORK ! -d $NETWORK -j SNAT --to 177.135.198.66
echo [Ok]

################################## LOG ###################################

$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
$IPT -A INPUT -p udp -j DROP
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
}

case "$1" in
start)
echo " * Iniciando Firewall iptables"
INICIAR
;;
stop)
echo " * Parando Firewall iptables"
PARAR
;;
restart|reload)
echo " * Reiniciando Firewall iptables"
INICIAR
;;
*)
echo " * Usage: $0 {start|stop|restart|reload}"
exit 1
esac

exit 0

wizarded
(usa CentOS)

Enviado em 25/03/2015 - 22:59h

Já descobri o que aconteceu. por padrão, a inicialização do script de firewall estava com FORWARD DROP.

Pra resolver meu problema, que estava em atraso, troquei o DROP pelo ACCEPT.

Mas de qualquer forma, alguém ai saberia como eu poderia fazer pra deixar como padrão o DROP e aplicar o FORWARD ACCEPT somente para a porta que quisesse?