Denuncie   Favoritos   Indicar  

habilitar acesso da internet para intranet

1. habilitar acesso da internet para intranet

denis
coleta
(usa Ubuntu)

Enviado em 31/01/2018 - 20:06h

Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço

0 0
  • Quote

    •   


    2. Re: habilitar acesso da internet para intranet

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 31/01/2018 - 20:48h

    coleta escreveu:

    Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
    Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
    Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
    Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
    Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço


    Depende de como está configurado este modem seu. Ele está em bridge e o Linux está discando conexão? Se não, terá que fazer um DMZ para o IP do servidor Linux, ou então direcionar todas as portas que quer usar externamente, para o mesmo (Isso no modem para o server linux). Esse detalhe pode impedir algumas portas de funcionarem. Outra coisa é o WISP (operadora) bloquear algumas portas, isso também pode ocorrer. Outra questão tem a ver com a sua configuração de firewall, está usando qual política? DROP? Se sim, tem que cuidar das regras em NAT->PREROUTING/POSTROUTING e em FILTER->FORWARD. Com relação às regras de direcionamento de portas, seria interessante fazer dessa forma:

    ##Case 1
    #Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
    #Vai
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56090 -j DNAT --to-dest 192.168.1.200:22
    #Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
    #Volta
    iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1

    ##Case 2
    #Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
    #Vai
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56091 -j DNAT --to-dest 192.168.1.201:22
    #Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
    #Volta
    iptables -t nat -A POSTROUTING -d 192.168.1.201 -j SNAT --to 192.168.1.1

    Ps.: Nunca deixa de especificar sua interface de internet no forwarding de portas.

    E assim sucessivamente. Direcionamento de portas é feito em duas vias, apesar de, em uma, funcionar na maioria dos casos.



    0 0
  • Quote

    • 3. Re: habilitar acesso da internet para intranet

    denis
    coleta
    (usa Ubuntu)

    Enviado em 31/01/2018 - 21:20h

    LSSilva escreveu:

    coleta escreveu:

    Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
    Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
    Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
    Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
    Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço


    Depende de como está configurado este modem seu. Ele está em bridge e o Linux está discando conexão? Se não, terá que fazer um DMZ para o IP do servidor Linux, ou então direcionar todas as portas que quer usar externamente, para o mesmo (Isso no modem para o server linux). Esse detalhe pode impedir algumas portas de funcionarem. Outra coisa é o WISP (operadora) bloquear algumas portas, isso também pode ocorrer. Outra questão tem a ver com a sua configuração de firewall, está usando qual política? DROP? Se sim, tem que cuidar das regras em NAT->PREROUTING/POSTROUTING e em FILTER->FORWARD. Com relação às regras de direcionamento de portas, seria interessante fazer dessa forma:

    ##Case 1
    #Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
    #Vai
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56090 -j DNAT --to-dest 192.168.1.200:22
    #Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
    #Volta
    iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1

    ##Case 2
    #Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
    #Vai
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56091 -j DNAT --to-dest 192.168.1.201:22
    #Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
    #Volta
    iptables -t nat -A POSTROUTING -d 192.168.1.201 -j SNAT --to 192.168.1.1

    Ps.: Nunca deixa de especificar sua interface de internet no forwarding de portas.

    E assim sucessivamente. Direcionamento de portas é feito em duas vias, apesar de, em uma, funcionar na maioria dos casos.



    Obrigado ssilva pelo retorno.

    meu modem é um ponte, nao é roteado, o ip da internet esta na interface do pc com linux, a regra padrao do iptables esta como accept em todas as tabelas, fiz ate o seguinte teste:
    iptables -F
    iptables -F -t filter
    iptables -F -t nat
    iptables -F -t mangle
    iptables -X
    iptables -X -t filter
    iptables -X -t nat
    iptables -X -t mangle
    iptables -Z
    iptables -Z -t filter
    iptables -Z -t nat
    iptables -Z -t mangle

    limpei todas as regras, e por padrao fica tudo como accept, entao eu executei:

    iptables -t nat -A PREROUTING -d <ip-da-internet> -p tcp --dport 54666 -j DNAT --to 192.168.1.200:22
    iptables -t nat -A PREROUTING -d <ip-da-internet>-p tcp --dport 54669 -j DNAT --to 192.168.1.119:22
    redirecionei para 2 pc da rede interna
    executei nmap nos 2 da minha casa em direçao ao escritorio e da open somente no 192.168.1.200
    eu testei de outro pc se o serviço ssh esta aberto no 192.168.1.119 e esta ok

    Estranho que eu nao uso esta regra de volta "iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1
    ", tanto que faço acesso a camera e ao sistema que usa conexao ssh.
    Mas mesmo assim vou colocar agora esta regra e fazer um teste.



    0 0
  • Quote

    • 4. Re: habilitar acesso da internet para intranet

    denis
    coleta
    (usa Ubuntu)

    Enviado em 31/01/2018 - 21:50h

    Sem sucesso,
    habilitei com o iptales o log para ver se a algum pacote chegando , uma tentativa de coenxao e nao chega nada. Tavez o sistema esteja corrompido. Ele desligou umas 4 vezes a semana passada por conta de queda de energia e queda no nobreak.meio que desanima mas vou colocar um outro pc om iptables na frente deste e fazer os redirecionamentos e ver se funciona com todos a rede e nao somente alguns ips.
    Aindo posto o resultado e obrigado pelo retorno novamente.

    0 0
  • Quote

    • 5. Re: habilitar acesso da internet para intranet

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 31/01/2018 - 23:35h

    coleta escreveu:

    Sem sucesso,
    habilitei com o iptales o log para ver se a algum pacote chegando , uma tentativa de coenxao e nao chega nada. Tavez o sistema esteja corrompido. Ele desligou umas 4 vezes a semana passada por conta de queda de energia e queda no nobreak.meio que desanima mas vou colocar um outro pc om iptables na frente deste e fazer os redirecionamentos e ver se funciona com todos a rede e nao somente alguns ips.
    Aindo posto o resultado e obrigado pelo retorno novamente.


    Não faça isso, só vai complicar a situação.

    Faça o seguinte: Nessa regra sua, está usando opção de destino, tente usar interface WAN.
    Ex:
    Ao invés de:
    iptables -t nat -A PREROUTING -d $IP -p tcp --dport xxxxx -j DNAT --to-dest 192.168.1.199:22
    Use:
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport xxxxx -j DNAT --to-dest 192.168.1.199:22

    Confirma pra gente se a ppp0 é sua interface de internet.

    Poste também a saída do comando "iptables -nL", antes de fazer qualquer coisa.

    0 0
  • Quote

    • 6. Re: habilitar acesso da internet para intranet

    denis
    coleta
    (usa Ubuntu)

    Enviado em 01/02/2018 - 10:53h

    executando o teste:
    iptables -F
    iptables -F -t filter
    iptables -F -t nat
    iptables -F -t mangle
    iptables -X
    iptables -X -t filter
    iptables -X -t nat
    iptables -X -t mangle
    iptables -Z
    iptables -Z -t filter
    iptables -Z -t nat
    iptables -Z -t mangle
    iptables -t filter -P INPUT ACCEPT
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT


    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 54666 -j DNAT --to 192.168.1.200:22 #computador sistema estoque
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 192.168.1.182:22 #meu computador
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.202 #camera

    #comando: iptables -L -n -t filter
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    #comando:iptables -L -n -t nat
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:54666 to:192.168.1.200:22
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.1.182:22
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.202

    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination

    #agora conectei um notebook em outro link que temos da net virtua com o nmap
    #nmap <ip-externo > -p 54666
    54666/tcp open unknown
    #nmap <ip-externo > -p 80
    80/tcp filtered unknown

    Sera o switch, posso testar com um pc apenas ou trocar o swich



    0 0
  • Quote

    • 7. Re: habilitar acesso da internet para intranet

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 01/02/2018 - 12:01h

    O apache (ou outro server http) está rodando no host 192.168.1.202? Se sim, há grande chance de a porta 80 estar sendo bloqueada pela operadora (a maioria bloqueia), tente usar uma porta alta para testar.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Ubuntu não sai som (1)

    SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)

    Setxkb persistente (1)

    Preciso resolver um erro de DPKG (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: