NAT para liberar porta [RESOLVIDO]

deusvan
(usa Ubuntu)

Enviado em 17/09/2010 - 10:42h

Bom dia, estou liberando a porta 1433 atraves de NAT e fiz a seguinte regra abaixo, a mesma conecta via telnet, só que quando começo escrever dentro da mesma a conexao cai. Veja se estar correto minha regra.

-A PREROUTING -d 189.74.132.76 -p tcp -m tcp --dport 1433 -j DNAT --to-destination 130.0.0.191:1433
-A PREROUTING -d 189.74.132.76 -p udp -m udp --dport 1433 -j DNAT --to-destination 130.0.0.191:1433

Agradeço pela força

renato_pacheco
(usa Debian)

Enviado em 17/09/2010 - 11:47h

Aparentemente não há nenhum problema. Se a conexão anda caindo, talvez o telnet esteja tentando acessar uma porta extra no retorno do pacote. Sugiro uma análise do comportamento do protocolo no momento da conexão (com sniffers como wireshark ou tcpdump).

neiltonkdf
(usa Fedora)

Enviado em 17/09/2010 - 11:48h

Doutor, retire essa opção -m tcp e -m udp ficando assim,

-A PREROUTING -d 189.74.132.76 -p tcp --dport 1433 -j DNAT --to-destination 130.0.0.191:1433
-A PREROUTING -d 189.74.132.76 -p udp --dport 1433 -j DNAT --to-destination 130.0.0.191:1433

e teste novamente.
Espero ter ajudado.

deusvan
(usa Ubuntu)

Enviado em 17/09/2010 - 11:55h

Estou veirificando as mensagens, e tambem alterei conforme Neiton passou, acredito que telnet nao vai funcionar talvez porq tem algumas portas que nao funciona em telnet...

renato_pacheco
(usa Debian)

Enviado em 17/09/2010 - 11:58h

Na verdade, telnet é um lixo. Se eu fosse vc, liberaria o SSH (porta 22). Esta funciona em qq porta (desde q vc configure a porta desejada no servidor SSH).

removido
(usa Nenhuma)

Enviado em 17/09/2010 - 13:41h

Renato, eu concordo com você, eu também configuraria o ssh ao invéz do telnet(sem kerberos), e na configuração do ssh liberaria uma porta mais alta tipo (5398..) para justamente fugir das portas padrões. As vezes de tanto bruteforce rodando na porta 22 pode ocorrer de uma certa lentidão no serviço.

Mas de qualquer forma, seguem abaixo as regras:

iptables -t nat -A PREROUTING -s 0/0 -p tcp -d 189.74.132.76 --dport 1433 -j DNAT --to 130.0.0.191:1433
iptables -t nat -A PREROUTING -s 0/0 -p udp -d 189.74.132.76 --dport 1433 -j DNAT --to 130.0.0.191:1433

Obs: O firewall irá redirecionar para a porta 1433 da máquina local, ou seja o telnet terá que escutar nessa porta, ou então mudar na regra para redirecionar para a porta 23.


traduzindo:

iptables -t (nat = tabela) -A(accept = aceita) PREROUTING("tabela") -s(source = origem) 0/0(all = todos) -p(protocolo) -d(destino) --dport(porta) -j(masquerade = mascarar) DNAT(redirecionamento) --to(para quem irá redirecionar).




Abraço.
Espero ter ajudado!
slackpunk.

renato_pacheco
(usa Debian)

Enviado em 17/09/2010 - 14:00h

Concordo com vc, slackpunk, eu não quis entrar nesses detalhes, só quis dizer q é possível das duas formas. Mas é bom o seu complemento para as pessoas q lerem este tópico.

deusvan
(usa Ubuntu)

Enviado em 17/09/2010 - 14:05h

Valew pela força consegui resolver com as dicas enviadas .... muito obrigado.....

frodopuc
(usa Ubuntu)

Enviado em 07/04/2015 - 11:49h

Pessoal, deixa eu ver se eu entendi:
Estou procurando uma forma de abrir algumas portas tcp e udp em meu servidor firewall por onde vai passar um sistema de telefonia
o pedido do cliente de telefonia foi:
"você informou que a central estará ligada em um firewall, você deverá fazer uma configuração de NAT do nosso IP válido para o IP de sua central. As portas utilizadas serão a 5060 até a 5070 TCP/UDP para sinalização SIP e portas UDP 8766 até 35000 - audio RTP. "

Entao eu quero abrir as portas e testar elas, seria:
iptables -t nat -A PREROUTING -d 177.21.xxx.xxx -p tcp --dport 5060-5070 -j DNAT --to-destination 10.0.xxx.xxx
iptables -t nat -A PREROUTING -d 177.21.xxx.xxx -p udp --dport 5060-5070 -j DNAT --to-destination 10.0.xxx.xxx
iptables -t nat -A PREROUTING -d 177.21.xxx.xxx -p tcp --dport 8766:35000 -j DNAT --to-destination 10.0.xxx.xxx

Ip 177.21. é meu IP válido externo e IP 10.0 é o IP do meu firewall
E para testar depois seria (para pelo menos uma das portas):
netstat -nlp | grep 5060

Isso?

renato_pacheco
(usa Debian)

Enviado em 07/04/2015 - 12:27h

Isso.

Icone
(usa Outra)

Enviado em 21/12/2015 - 10:36h

Bom dia amigos, meu problema é o mesmo do nosso amigo ai, só que com uma diferença, eu não conheço nada do Endian.
Nos trocamos o sistema da associação comercial aqui de onde eu moro para que os associados possam emitir seus boletos on line.
A Empresa pede que eu libere portas de acesso externo para que eles possam liberar um link ou regra para eu colocar no site da associação para os associados acessarem suas constas.
O IP wan do nosso link é 131.121.24.54 e o ip do servidor é 192.168.0.5. preciso liberar as portas:
TCP 1433 e UPD 1434. vcs poderiam me orientar em como fazer isso por favor.
Agradeço desde já a atenção de todos, um grande abraço.

renato_pacheco
(usa Debian)

Enviado em 21/12/2015 - 11:24h

Cara, peço para q vc abra um novo tópico, pq além d dar mais visibilidade aos usuários do fórum, vc mantém a casa organizada. ;)

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh