Liberar area de trabalho remota [RESOLVIDO]

lucianotoledo
(usa Debian)

Enviado em 25/09/2014 - 08:55h

Bom dia Pessoal

Preciso liberar acesso de área de trabalha remota de um notebook que acessa externo ( da casa) para dentro de uma rede que está com firewall Iptables em um server Linux. Montei essa regra:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.0.251

o ip 192.168.0.251 é um windows 2008 server.


Só isso já funciona?

souzacarlos
(usa Outra)

Enviado em 25/09/2014 - 12:37h

Bom dia.

SIM e NÃO, tudo vai depender de como está o resto de teu script de firewall, vc ai só criou uma regra de NAT, e quanto as regras de FORWARD como estão?

aguardo.

lucianotoledo
(usa Debian)

Enviado em 25/09/2014 - 12:40h

Boa tarde Souza Carlos

segue meu arquivo firewall.sh

#!/bin/bash


######### Regras de Firewall ######

echo > Habilitando Firewall...

###### #Limpando todas as regras do iptables ############

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -L -n


###### ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES #########
echo 1 > /proc/sys/net/ipv4/ip_forward

####### ATIVA O MODO DE MASQUERADE ######################
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

########### Logando input, output,forward ###############
#iptables -A INPUT -j LOG
#iptables -A OUTPUT -j LOG
#iptables -A FORWARD -j LOG

### LIBERA ACESSO AO DVR ###
iptables -A INPUT -i eth1 -p tcp --dport 7171 -j ACCEPT


### LIBERA ACESSO AO TERMINAL SERVER PC WINDOWS SERVER ###
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.0.251

phrich
(usa Slackware)

Enviado em 25/09/2014 - 13:10h

Faltou o :3389 no final da linha...

iptables -t nat... --to ip:porta

souzacarlos
(usa Outra)

Enviado em 25/09/2014 - 13:42h

########### Logando input, output,forward ###############
#iptables -A INPUT -j LOG
#iptables -A OUTPUT -j LOG
#iptables -A FORWARD -j LOG

Como nas linhas acima vc omitiu a regra seguinte, pq o Alvo -j LOG ele gera o LOG porém ele vai para regra seguinte, como vc omitiu a informação e como o default é ACCEPT, acredito que ele esteja fazendo isso.
___________________________________________________________________________________________________

### LIBERA ACESSO AO DVR ###
iptables -A INPUT -i eth1 -p tcp --dport 7171 -j ACCEPT

Aqui talvez esteja errado, teu DVD está hospedado no teu Firewall? Caso não pq vc definiu uma regra de INPUT apontando para o teu DVD, entendeu?
___________________________________________________________________________________________________


### LIBERA ACESSO AO TERMINAL SERVER PC WINDOWS SERVER ###
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.0.251

# Aqui a interface está errada, vc disse lá no POSTROUTING que a interface que sai pra internet é a ETH0, logo a interface por onde os clientes se conectaram ao teu RDP é a própria entendeu?

Obs.: Com relação ao que o colega comentou sobre :3389 não é obrigatório.
___________________________________________________________________________________________________

Aguardo.

lucianotoledo
(usa Debian)

Enviado em 25/09/2014 - 14:22h

Blz Carlos

OK já alterei o eth1 para eth0 ficou assim:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.0.251:3389

Com relação ao DVR das cameras ele está com ip 192.168.0.253 ( faixa que eu defini como eth1 para rede local)

A eth0 está respondendo com ip 192.168.1.2 ( Pedi para o provedor fazer um DMZ no roteador para um IP de internet 187.x.x.x )


Nos testes que fiz de um computador windows de fora da rede quando eu coloco o IP de internet 187.x.x.x:3389 no mstsc ele fica pensando até dar timeout. pelo tempo que fica acho que está faltando alguma coisinha minima para conseguir conectar.

souzacarlos
(usa Outra)

Enviado em 25/09/2014 - 14:32h

Ok, porém a regra criada para DVD está errada, vc está apontando para o próprio firewall.

Uma dica pega sua POLICE default que vc setou para LOG e define como ACCEPT.

Outra dica, enquanto vc estiver testando a conexão deixa rodando junto um " tcpdump -i eth0 dst port 3389 " para ver se as conexões estão passando ok.

Curiosidade: O serviço de RDP no servidor em questão estão totalmente operacional certo?

aguardo.

lucianotoledo
(usa Debian)

Enviado em 25/09/2014 - 14:52h

Blz carlos

o serviço rdp do servidor windows esta ok pois testei por um pc dentro da rede direto com o ip do servidor e na hora pediu login e senha.

Somente externo que fica pensando até dar timeout.

vou fazer mais testes.
valeu pelas dicas
vou postando se der certo.

lucianotoledo
(usa Debian)

Enviado em 26/09/2014 - 08:03h

Deu certo pessoal.

funcionou certinho a regra.

Valeu pelas dicas Carlos Souza