Liberar acesso externo porta 3389 para maquina na rede local

Camargo89
(usa Debian)

Enviado em 28/07/2015 - 10:29h

Estou a um tempo tentando fazer um acesso externo no servidor ts e não estou conseguindo liberar no meu servidor Ubuntu a porta 3389 para a minha maquina na rede me ajudem.
tenho um servidor Debian virtualizando com KVM meu servidor ubuntu que nele tem um proxy-squid
na eth0 esta o modem na faixa 192.168.5.x
na eth1 esta minha rede local 192.168.0.x

como devo proceder para liberar no iptables o acesso.
ja tenho configurado o no-ip, antes estava funcionado quando passava direto pelo modem onde eu abrir as portas por ele, mais agora preciso passar pelo servidor.

sergeimartao
(usa Linux Mint)

Enviado em 28/07/2015 - 13:56h

Esse servidor já possui alguma regra de iptables em execução?

Imaginando que a eth0 já tenha um forward, você precisara apenas fazer um NAT para o IP de destino.

iptables -t nat -A POSTROUTING -p TCP -s $RANGEDASUAREDE -d $IPDESTINO --dport 3389 -o eth0 -j MASQUERADE 

Camargo89
(usa Debian)

Enviado em 28/07/2015 - 15:21h

Não deu certo,

no meu iptables por enquanto só tenho essas regras:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128

sergeimartao
(usa Linux Mint)

Enviado em 28/07/2015 - 16:19h

Tem alguma politica padrão ativada? execute e poste a saida

iptables -nvL 

Teste fazer a liberação da seguinte forma:

iptables -I FORWARD -s $RANGEDASUAREDE -d $IPDESTINO -o eth0 -j ACCEPT

iptables -t nat -I POSTROUTING -p TCP -s $RANGEDASUAREDE -d $IPDESTINO --dport 3389 -o eth0 -j MASQUERADE

 

Camargo89
(usa Debian)

Enviado em 28/07/2015 - 20:18h

tentei o seu Código e não deu certo. helppp

a politica esta ACCEPT

Chain INPUT (policy ACCEPT 472 packets, 51650 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 1370 packets, 249K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * eth0 192.168.5.0/24 192.168.0.214

Chain OUTPUT (policy ACCEPT 475 packets, 56822 bytes)
pkts bytes target prot opt in out source destination


fiz dessa maneira:
iptables -I FORWARD -s 192.168.5.0/24 -d 192.168.0.214 -o eth0 -j ACCEPT
range eth0 modem

iptables -t nat -I POSTROUTING -p TCP -s 192.168.5.0/24 -d 192.168.0.214 --dport 3389 -o eth0 -j MASQUERADE

sergeimartao
(usa Linux Mint)

Enviado em 28/07/2015 - 23:54h

Camargo89


Uma dúvida, estou supondo que voce precise acessar um servidor que esteja na internet IP 200.xxx.xxx.xxx, mas esse IP de destino 192.168.0.214, é IP de rede interna.
Nesse caso voce não precisa do MASQUERADE.

Poderia explicar melhor esse acesso?

Camargo89
(usa Debian)

Enviado em 29/07/2015 - 00:06h

tenho meu servidor proxy com 2 placas de rede eth0 e eth1, eth0 e onde esta o modem que tem o endereço 192.168.5.68 gateway 192.168.5.1, minha eth1 e minha rede local com endereço 192.168.0.202, tenho servidor TS com endereço 192.168.0.214, ja tenho minha conta no no-ip minhaconta.no.biz:3389 que e por onde quero acessar o servidor TS

sergeimartao
(usa Linux Mint)

Enviado em 29/07/2015 - 00:22h

OK
eth0 wan conectado no modem, rede 192.168.5.0/24
eth1 lan, IP 192.168.0.202 rede interna 192.168.0.0/24

Agora o IP do servidor externo 192.168.0.214

Onde ele esta conectando exatamente, na eth0? ou ele esta na nuvem?
Outra coisa, voce quer poder acessar da sua empresa esse servidor? ou permitir pessoas de foram acessarem ele?

Acho que estou repetindo as perguntas, mas quero poder visualizar melhor o que precisa ser feito.
Quanto mais detalhes melhor rs

Camargo89
(usa Debian)

Enviado em 29/07/2015 - 00:31h

O servidor Ts esta na rede local da eth1, quero poder acessa-lo de fora de empresa, pelo meu endereço do no-ip, localmente eu acesso pelo 192.168.0.214.

sergeimartao
(usa Linux Mint)

Enviado em 29/07/2015 - 08:56h

Teste da seguinte forma

1 - Permitir a passagem do trafego para o IP do servidor com destino a porta 3389.
iptables -I FORWARD -p TCP -d $IPSERVIDOR --dport 3389 -j ACCEPT

2 - Redirecionar qualquer IP valido (que imagino que seja seu caso) para o IP e porta do servidor interno
iptables -t nat -I PREROUTING -p TCP -d 0/0 --dport 3389 -i eth0 -j DNAT --to $IPSERVIDOR:$PORTA

Substitua as variáveis
$IPSERVIDOR = IP do servidor da rede interna 192.168.0.214
$PORTA = Porta que sera acessada, no seu caso 3389

Não esqueça de remover as regras que já testou

ericktorres
(usa )

Enviado em 29/07/2015 - 10:20h

Bom dia Amigos,

Aqui na empresa usamos assim ...

iptables -A INPUT -p tcp --dport (PORTA) -j ACCEPT
iptables -A FORWARD -p tcp --dport (PORTA) -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d (IP EXTERNO) --dport (PORTA) -j DNAT --to 192.168.1.4:3389
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.4 --sport 3389 -j SNAT --to (IP EXTERNO):(PORTA)

Não usamos a porta 3389 como padrão para acesso externo, é como um reforço a segurança. Sugiro que faça o mesmo, coloque para acesso externo por exemplo porta 65000.

Att

ericktorres
(usa )

Enviado em 29/07/2015 - 10:24h

Só uma pergunta, o modem que está antes do servidor, está com DHCP ativo ou está em modo bridge?