Direcionar rdp (porta 3389) localmente para fora [RESOLVIDO]

brizao
(usa Debian)

Enviado em 25/01/2010 - 01:48h

Olá, minha primeira dúvida aqui, sou um amante por linux e recentemente estou com um problema para implantar um firewall iptables em uma empresa, estou fazendo testes via virtual machine mas creio que isso não seja um problema.

Seguinte, irei colocar um servidor firewall/squid na empresa, até aí tudo bem, criei as regras pra redirecionar quem está de fora, acessar o servidor windows de dentro, mas quem está dentro (no meu caso), não consigo acessar uma máquina windows de fora, quando tento, por causa da regra de redirecionar quem está de fora, ir para dentro.... esta regra interefe e faz com que eu não consiga conectar pra fora e sim novamente para dentro seja qualquer IP que eu colocar no remote desktop connection.

uso esta regra para redirecionar quem esta fora, para dentro:

# Roteia requisicoes pela porta 3389 de fora para algum IP da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -j SNAT --to 192.168.1.1


agora ir pra fora está sendo um problema, se eu usar:

iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT
ele redireciona pro servidor interno, se eu usar:

iptables -t nat -A PREROUTING -s rede_local -p tcp --dport 3389 -j DNAT --to maquina_externa
até funciona mas o IP no final eu teria que trocar cada vez que for conectar, se colocar o ip do roteador ou gateway, ai nao funciona, da erro no remote desktop

se alguem souber de algo, por favor me ajude.


Valeu

weltonpba
(usa Debian)

Enviado em 25/01/2010 - 17:12h

Tenta essa regra:
Modificando os endereçõs ip conforme sua necessidade !

iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10
iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 3389 -i eth1 -j DNAT --to 10.1.1.10

renato_pacheco
(usa Debian)

Enviado em 25/01/2010 - 21:05h

O weltonpba tem razão. Se vc redireciona a entrada pra interface d saída (PREROUTING), tudo q sair por essa porta volta, mas se redirecionar para a interface d entrada (q dá o msm resultado quando acessado d fora pra dentro), quando vc tentar acessar lá pra fora, não volta pra sua rede interna.

brizao
(usa Debian)

Enviado em 26/01/2010 - 00:07h

bom, vamos la, consegui resolver mas foi de uma seguinte maneira, essa aposto que é uma dica boa hehehe

eu estava usando uma maquina virtual (virtualbox) com 1 interface de rede, e usando eth0 e eth0:1 (alias) e por isso quando eu tentava conectar de dentro pra fora, fazia um loop e conectava novamente pra dentro, seja qualquer IP q eu colocasse...

ai fui la no virtualbox e coloquei eth0 e eth1 e somente essa regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.100

com ela, quem esta de fora, conecta no windows server com IP .100 no final e quem esta dentro, nao faz o loop por causa que a rede local agora é eth1, e passa direto....

valeu ai, nossa, dias pensando nisso haha