Liberar porta 3389, acesso remoto TS [RESOLVIDO]

verner_inec
(usa Debian)

Enviado em 10/09/2013 - 16:04h

Boa tarde pessoal!

Possuímos uma rede onde o servidor Debian Squeeze é o principal, e dentro da rede há outro servidor windows server 2012, onde precisamos faze acesso remoto a ele, funciona normalmente dentro da rede, porem conexões externas não podem ser feitas.

Ao scannear a porta 3389 no site http://www.t1shopper.com/tools/port-scan/ ela não responde, tentei varias configurações iptables que vi em forums mas não tive a sorte ainda.

via ts
[usuário externo] => [servidor linux] => [servidor windows]


Se alguém puder me ajudar.
Obrigado!

carlospicture
(usa Ubuntu)

Enviado em 10/09/2013 - 16:16h

Boa tarde!
Para redirecionar uma porta para um computador da sua rede vc pode usar este comando como exemplo.

iptables -t nat -A PREROUTING -i $WAN -p TCP --dport 3389 -j DNAT --to $TS

Sendo que a WAN(seria a sua interface de rede no caso eth0, eth1 ou ppp0) e o TS seria o ip do seu servidor de Terminal service.


Espero ter ajudado.

l0g1in
(usa FreeBSD)

Enviado em 10/09/2013 - 17:13h

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 200.16.x.x -j DNAT --to-destination 192.168.x.x:3389

verner_inec
(usa Debian)

Enviado em 10/09/2013 - 18:21h

Segue o firewall completo para análise, mesmo eu tentando abrir as portas quando faço um scan por sites sempre mostra a porta fechada
Preciso saber qual regra se adapta melhor e em que posição colocar, desde já agradeço pois já coloquei varias que achei na net e até agora nada de liberar.


#!/bin/sh

echo ""
uname -s -r -m -o
firewall_start(){
echo ""
echo " Iniciando as regras do firewall.............."
echo ""

echo "Definindo Politica Padrão....................."
echo ""

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP



echo " Limpando as Regras Anteriores..............[OK]"
echo ""

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t raw -F


echo " Carregando os módulos do firewall..........[OK]"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat

#Declaraçao de variaveis de configuraçao do firewall
IF_NET="net0" #interface de saida para rede externa
IF_ACAD="red0" #interface da rede academica e dhcp
IF_ADM="red0:0" #interface da rede administrativa
IF_EXT="net0:0" #interface externa
IP_NET="10.1.1.3" #ip da interface externa do servidor
IP_ACAD="192.168.0.0/24" #ip de rede academica
IP_ADM="192.168.1.0/24" #ip de rede administrativa
IP_EXT="xxx.xxx.xxx.xx" #ip externo


PORTAS="20,21,25,53,110,465,993" # lista de portas a ser liberadas

echo "Alterando prioridade dos pacotes ToS.....[OK]"
iptables -t mangle -A OUTPUT -o $IF_NET -p tcp -m multiport --dports $PORTAS -j TOS --set-tos 0x10

echo " liberando acesso interno da rede........[OK]"
iptables -A INPUT -p tcp --syn -s $IP_ACAD -j ACCEPT
iptables -A INPUT -p tcp --syn -s $IP_ADM -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s $IP_ACAD -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s $IP_ADM -j ACCEPT
iptables -A FORWARD -p tcp --syn -s $IP_ACAD -j ACCEPT
iptables -A FORWARD -p tcp --syn -s $IP_ADM -j ACCEPT

echo "liberando conexões previamente aceitas....[OK]"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Liberando acesso externo ao apache e ftp..[OK]"
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

echo " Liberando portas conhecidas..............[OK]"
iptables -t nat -A POSTROUTING -o $IF_NET -p tcp -m multiport --dports $PORTAS -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_NET -p udp -m multiport --dports $PORTAS -j MASQUERADE

#liberando samba na rede
iptables -A INPUT -i $IF_ADM -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i $IF_ADM -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i $IF_ACAD -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i $IF_ACAD -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i $IF_ACAD -p tcp --dport 139 -j ACCEPT

#Liberando DNS

iptables -A INPUT -p tcp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $IP_ACAD --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $IP_ADM --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s $IP_NET --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s $IP_NET --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -s $IP_NET --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s $IP_NET --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_NET --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $IP_NET --dport 53 -j ACCEPT


echo "Ativando o IP forwared................[OK]"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Protegendo contra Pings (ignorando)...........[OK]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo " Protegendo contra IP spoofing..........[OK]"
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo " Protegendo contra diversos ataques.......[OK]"
echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo " Protegendo contra bogus responses......[OK]"
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo " Protegendo contra IP synflood......[OK]"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

echo " Protegendo contra ICMP Broadcasting......[OK]"
echo > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo " Protegendo contra alteração de rota.......[OK]"
iptables -A INPUT -p udp --dport 33435:33525 -j LOG --log-prefix "_BLOCKED_:"
echo "Protegendo contra tracerout........[OK]"
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

echo " Protegendo contra portscanners, ping of death, ataques DoS, etc...[OK]"
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "_BLOCKED_"
iptables -A INPUT -m state --state INVALID -j DROP

echo " Fechando portas UDP 1:1024.......[OK]"
iptables -A INPUT -p udp --dport 1:1024 -j LOG --log-prefix "_BLOCKED_UDP_:"
iptables -A INPUT -p udp --dport 1:1024 -j DROP

echo " Permitindo apenas conexoes e respostas iniciadas pela maquina.....[OK]"
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

echo " Liberando a interface loopback............[OK]"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Bloqueando qualquer conexão que não tenha sido permitida acima.....[OK]"
#iptables -A INPUT -p tcp --syn -j LOG --log-prefix "_BLOCKED_:"
#iptables -A INPUT -p tcp --syn -j DROP

echo "Firewall em operação.......[OK]"
sleep 1

}

firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

}

case "$1" in
"start")
firewall_start
;;

"stop")
firewall_stop
echo "Desativando todas as Regras do Firewall......[OK]"
sleep 1
;;

"status")
echo -e "===================Table Filter================";
iptables -t filter -L -n
echo -e "===================Table Nat===================";
iptables -t nat -L -n
echo -e "===================Table Mangle================";
iptables -t mangle -L -n
echo -e "===================Table Raw===================";
iptables -t raw -L -n
;;

"restart")
echo "Reativando todas as Regras do Firewall...........[OK]"
sleep 1
firewall_stop; firewall_start
;;

*)
iptables -L -n

esac

l0g1in
(usa FreeBSD)

Enviado em 11/09/2013 - 13:04h

Uma coisa meio maluca mais tenta ai
coloca a porta 3389 onde no seu script está porta liberadas
iptables -A INPUT -p tcp -s 0/0 --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 200.16.x.x -j DNAT --to-destination 192.168.x.x:3389

iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

leonardonhesi
(usa Debian)

Enviado em 11/09/2013 - 13:52h

##ACESSO TS ## (192.168.1.220 porta 3389)

#IP DO SERVIDOR FW
IP2=192.168.1.1

#LOGAR ENTRADAS DE FORA NO SERVIDOR

# NESTE CASO SÓ PERMITE DE UMA ORIGEM ESPECIFICA
iptables -t nat -A PREROUTING -p tcp -s IP_ORIGEM_ESPECIFICO --dport 3389 -j LOG --log-prefix "TS_EXEMPLO"
iptables -t nat -A PREROUTING -p tcp -s IP_ORIGEM_ESPECIFICO --dport 3389 -j DNAT --to-destination 192.168.1.220:3389

# ASSIM DE QUALQUER ORIGEM
#iptables -t nat -A PREROUTING -p tcp --dport 3389 -j LOG --log-prefix "TS_EXEMPLO"
#iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.220:3389

iptables -A FORWARD -p tcp --dport 3389 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.1.220 -p tcp --dport 3389 -o $IFACE2 -j SNAT --to $IP2
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT



Algo assim

alexhctp
(usa Linux Mint)

Enviado em 11/09/2013 - 15:34h

Depois de um longo inverno, de volta ao fórum (ate o volume de trabalho aumentar de novo) rsrs.
Segue a solução para o seu problema.

#Aceitando redirecionamento das requisições
#destinadas à porta 3389 para o IP da rede local.
iptables -A FORWARD -p tcp -i $IF_NET --destination-port 3389 \
--destination 192.168.1.199 -j ACCEPT

#Informando ao sistema que todas as requisições
#que chegarem à porta 3389 da interface que se
#conecta diretamente a internet deverá ser redirecionada
#para porta 3389 do IP especificado. Note que não houve mudança de porta.
iptables -t nat -A PREROUTING -p tcp -i $IF_NET --destination-port 3389:3389 \
-j DNAT --to-destination 192.168.xxx.xxx:3389

#192.168.xxx.xxx = substitua pelo Ip do seu servidor na rede local.

Espero ter ajudado.

verner_inec
(usa Debian)

Enviado em 11/09/2013 - 18:03h

Obrigado Pessoal pela ajuda!

Utilizei as informações do nosso amigo leonardonhesi acima e funcionou perfeitamente.

vlw leonardonhesi ajudou muito cara!

leonardonhesi
(usa Debian)

Enviado em 11/09/2013 - 23:50h

Fico contente em poder ajudar.