Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 23/04/2010 - 14:38h

Mas ai não consigo fazer o redirecionamento... Pq o ip do servidor vai estar em outra faixa... Ou tem alguma forma para conseguir isso?

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 14:43h

Mas as requisições estão vindo d onde? Da interface eth1 ou da rota 10.5.1.1?

fbsalvi
(usa Outra)

Enviado em 23/04/2010 - 14:57h

Poxa , bom uma pergunta seu script de firewall tem somente isso que ta descrito acima?

Os modulos estao carregados:


vamos fazer o seguinte:

Na ordem:

# Limpando as tabelas
iptables -F
iptables -t nat -F
iptables -t mangle -F
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -j ACCEPT
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j ACCEPT

#Libera todas as portas
iptables -A FORWARD -p tcp --dport 0:65535 -j ACCEPT
iptables -A FORWARD -p udp --dport 0:65535 -j ACCEPT
#
#Libera todas portas
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 0:65535 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 0:65535 -j ACCEPT
#
# CARA ESSAS LINHAS ABAIXO EU COLOCO DENTRO DO /ETC/NETWORK/INTERFACES (final do arquivo), no UBUNTU
#
#post-up route add -net 192.168.0.0/24 gw 192.168.0.222
#post-up route add -net 192.168.1.0/24 gw 192.168.0.222
#...
#
# Roteamento entre filiais
#
route add -net 10.5.2.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.3.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.4.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.5.0 netmask 255.255.255.0 gw 10.5.1.1
#
# Liberando acesso total a servidores
# Servidor Red Hat Banco de Dados
#
iptables -A FORWARD -s 10.5.1.4 -j ACCEPT
iptables -A FORWARD -d 10.5.1.4 -j ACCEPT
#
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Tenta assim

Fabiano

spotinick
(usa Debian)

Enviado em 23/04/2010 - 15:47h

É fabiano, o negocio aqui tá zicado...
Tbm não foi...
Cara, já perdi os ultimos fios de cabelo

dastyler
(usa Fedora)

Enviado em 23/04/2010 - 16:37h

que bagunça voces fizeram hein crianças?

Vamos lá:
1º)Deixe a configuração que funfa a rede no seu script.
2º)Então, substitua as regras de NAT da porta 3389 por essas aqui (NÃO ESQEUÇA DE DAR UM FLUSH NA TABELA NAT ANTES, OK?):

/sbin/iptables -t nat -A PREROUTING -p tcp -d ip_da_internet --dport 3389 -j DNAT --to ip_maquina_na_rede_interna
/sbin/iptables -t nat -A POSTROUTING -p tcp -d ip_maquina_na_rede_interna --dport 3389 -j SNAT --to ip_da_internet.

As regras acima sempre funfaram 100% OK de primeira quando tenho que rotear para WTS, e funciona para outras portas tambem.

È importante lembrar que o ip_forward no seu firewall deve estar habilitado.

Boa sorte!!

fbsalvi
(usa Outra)

Enviado em 23/04/2010 - 16:50h

Entao como disse o amigo acima: no meu aki esta somente assim e funfa

iptables -t nat -A PREROUTING -p tcp -d <ip valido> --dport <port> -j DNAT --to 10.5.1.11:<port>

OBS: SE QUISER TB PODE INDICAR A IFACE DA INTERNET.

antes do postrouting

Fabiano.

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 17:26h

Foi como eu falei: tem algo a mais na rede dele q deve tá fazendo o bloqueio. Temos q entender como tá a rede dele para resolver o problema, sendo q não existe nenhum tipo d filtro e tb foi colocado as políticas todas como ACCEPT.

spotinick
(usa Debian)

Enviado em 26/04/2010 - 16:12h

É pessoal...
Sei que estou sendo chato, até peço desculpas, mas não virou ainda, fiz conforme indicações de vcs, mas não foi...
Alterei tudo que vcs possam imaginar, mas se na opção do MASQUERADE estiver com eth0, funciona o redirecionamento (3389) e bloqueia todas as portas, e se mudar para eth1, libera as portas, mas desabilita o redirecionamento (3389).
Formatei a maquina, reinstalei tudo, nem instalei o SQUID achando que poderia ser ele, mas estou na mesma...
:(

fbsalvi
(usa Outra)

Enviado em 26/04/2010 - 17:03h

Redirecionamento ao TS
Ola , esquenta nao e assim mesmo vamos la..

# Carrega os módulos
modprobe iptables
modproble iptable_nat
#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-dest 10.5.1.11
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 3389 -j DNAT --to-dest 10.5.1.11
#
iptables -A INPUT -i eth1 -s 0/0 -p tcp -d 10.5.1.11 --dport 3389 -j ACCEPT
iptables -A INPUT -i eth1 -s 0/0 -p udp -d 10.5.1.11 --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth1 -s 0/0 -p tcp -d 10.5.1.11 --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth1 -s 0/0 -p udp -d 10.5.1.11 --dport 3389 -j ACCEPT
#
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

#
Tenta fazer isso, eu coloquei o input e forward depois do prerouting, mas vc pode tentar colocar antes tb.. Especifiquei o -s 0/0, mas creio que nao seria necessario.


Tente ae amigo...

Fabiano.