Terminal service não funciona...

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 02:43h

Por favor o que há de errado nesse script, pois o acesso ao terminal service não funciona.

#!/bin/bash

inicar(){

# Compartilhar internet:
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# abre para a faixa de endereços da rede local:

iptables -A INPUT -s 192.168.10.0/255.255.255.0 -j ACCEPT


#Abre uma porta:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

#Terminal services

iptables -t nat -A PREROUTING -d 189.0.0.0 -p tcp --dport 3389 -j DNAT --to 192.168.10.1

# Ignora pings:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Protege contra ip spoofing:

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Descarta pacotes malformados, protegendo contra ataques:

iptables -A INPUT -m state --state INVALID -j DROP

# Libera a entrada de pacotes vindos da caixa
iptables -A INPUT -p all -s 200.201.174.207 -j ACCEPT

# KDE e outros programas graficos:

iptables -A INPUT -i lo -j ACCEPT
echo "Regras de firewall ativadas"

megatux
(usa Debian)

Enviado em 26/02/2009 - 08:44h

Fala Vitor, blz ?

Tenta assim:

iptables -t nat -A PREROUTING -d 189.0.0.0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.1:3389


Abraço!

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 09:11h

Obrigado megatux... mas também não funcionou...

renato_pacheco
(usa Debian)

Enviado em 26/02/2009 - 10:05h

Aconselho a vc retirar a linha "inicar(){", pois isto é uma função. Do jeito q vc colocou ae, dá erro d script.

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 10:24h

MUITO OBRIGADO MAS...
SEM SUCESSO...

richardandrade
(usa Debian)

Enviado em 26/02/2009 - 10:29h

ae amigo, faltou o FORWARD

iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

valeu e abraço.

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 13:06h

#!/bin/bash

iniciar(){

# Compartilhar internet:
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# abre para a faixa de endereços da rede local:

iptables -A INPUT -s 192.168.10.0/255.255.255.0 -j ACCEPT


#Abre uma porta:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

#Terminal services

iptables -t nat -A PREROUTING -p TCP -i eth1 --dport 3389 -j DNAT --to
192.168.10.1:3389

iptables -t nat -A PREROUTING -p TCP -i eth0 --dport 3389 -j DNAT --to
192.168.10.1:3389



# Ignora pings:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Protege contra ip spoofing:

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Descarta pacotes malformados, protegendo contra ataques:

iptables -A INPUT -m state --state INVALID -j DROP

# Libera a entrada de pacotes vindos da caixa
iptables -A INPUT -p all -s 200.201.174.207 -j ACCEPT

# KDE e outros programas graficos:
iptables -A INPUT -i lo -j ACCEPT

echo "Regras de firewall ativadas"

}

parar(){
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "Regras de Firewall desativadas"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*)echo "Use os parametros start ou stop"

esac

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 13:06h

NÃO VAI ...

richardandrade
(usa Debian)

Enviado em 26/02/2009 - 13:44h

Vitor regras do iptables para terminal service:

#iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination ip:3189
#iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

observe que você repediu a regra de redirecionamento.

lembrando que a regra de input não é necessária.

valeu e abraço.

vitor86
(usa Conectiva)

Enviado em 26/02/2009 - 18:22h

Valewwwwwwwwwwwwwwww... isso mesmoooo..

megatux
(usa Debian)

Enviado em 27/02/2009 - 09:02h

Caro Vitor,

Repare que a regra postada por nosso colega richardandrade, é a mesma que te passei, mas sem a declaração de onde a conexão será permitida, abrindo assim o serviço para o mundo e tornando-o mais vulnerável. Não é de forma alguma uma crítica ao richardandrade, que é um grande conhecedor do assunto e muito prestativo para com todos (veja o número de posts do cara), e sim uma pequena observação com a segurança. O importante é que o serviço está no ar !

Aproveitando, pergunto:
Quando se executa o "echo 1 > /proc/sys/net/ipv4/ip_forward", não estamos habilitando o encaminhamento de forma instantânea ?

Obrigado Vitor86 e richardandrade !

Abraços !