Redirecionar porta 3389 [RESOLVIDO]

gek09
(usa Debian)

Enviado em 04/04/2011 - 14:15h

Olá dercilima, desculpe, cometi um erro na hora de informar para você a variável $IF_SRV=[IP do seu Servidor TS], o correto é sem o cifrão na frente, IF_SRV=[IP do seu Servidor TS]. Aonde você está colocando as regras:

#Variaveis [Colocar junto com as variáveis da rede eth0 e eth1]
IF_SRV=[IP do seu Servidor TS]

iptables -t nat -A PREROUTING -s $IF_EXTERNA -p tcp -m tcp --dport 3989 -j DNAT --to $IF_INTERNA
iptables -t nat -A POSTROUTING -s $IF_INTERNA -p tcp -m tcp --dport 3389 -j SNAT --to $IF_EXTERNA

iptables -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to [IP do seu TS]

O meu informei após o direcionamento para o squid:

#Redirecionamento 80 para 3128
iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128

*Caso esteja comentendo algum erro me avise.

Atenciosmante,
Gustavo Missiatto

dercilima
(usa Debian)

Enviado em 04/04/2011 - 15:11h

boa tarde Gustavo,

Agradeço a sua ajuda até o presente momento.

Estou fazendo dessa forma, e continua apresentando a seguinte mensagem de erro:

root@Servidor:~# /etc/init.d/firewall

Aplicando regras Firewall...

iptables v1.4.8: Bad IP address "eth1"

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.8: Bad IP address "eth0"

Try `iptables -h' or 'iptables --help' for more information.

Regras aplicadas com sucesso!!!


Segue o meu script firewall para analisar

#!/bin/bash

echo
echo "Aplicando regras Firewall..."
echo


# Variaveis
# ---------------------------------
IPT=/sbin/iptables

IF_EXTERNA=eth0 #Conecta na internet
IF_INTERNA=eth1 #Conecta na rede interna

REDE=192.168.1.0/24


# Carrega modulos
# --------------------------------
modprobe iptable_nat


# Limpa regras
# --------------------------------
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -X
$IPT -X -t nat
$IPT -Z
$IPT -Z -t nat


# Determina a politica padrao
# ---------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT


# Fazer o roteamento da internet
# --------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPT -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE


# O servidor deixara de responder aos pings
# ------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP


# Protecao contra IP Spoofing, ataques DoS e Buffer Overflow
# IP Spoofing --> Tecnica usada em diversos tipos de ataques, onde o atacante
# envia pacotes usando um endereço IP falseado como remetente,
# tentando assim obter acesso a PCs da rede interna.
# --------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
$IPT -A INPUT -m state --state INVALID -j DROP


# Autorizar pacotes provenientes da interface de loopback (lo)
# e pacotes provenientes da rede interna
# ---------------------------------------------------------------
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IF_INTERNA -j ACCEPT


# Libera portas para acessar o servidor
# ------------------------------------------------
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
$IPT -A INPUT -p tcp --dport 10000 -j ACCEPT #Webmin
#$IPT -A INPUT -p tcp --dport 3389 -i $IF_EXTERNA -j ACCEPT #WTS


# Bloquear tentativas de conexões provenientes da internet
# ------------------------------------------------------------
$IPT -A INPUT -p tcp --syn -j DROP


# Liberar a porta o squid apenas para a rede local
# --------------------------------------------------------------
#$IPT -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT


# Configurar o proxy transparente
# Com isso redirecionamos todo o trafego de rede que passa pela porta 80 (http) para a 3128 (squid)
# ------------------------------------------------------------
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
# OBS.: está regra esta desativada por causa que o trafego que passa pela porta 80 (http) está sendo redirecionado
# para a porta 8080 que é a porta do Dansguardian


# Configurar o trafego que passa pela porta 80 (http) e 443 (https) para a porta 8080 (Dansguardian)
$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 8080


# Bloqueia a porta 3128 usada pelo squid, para impedir que alguem configure o navegador para acessar
# diretamente pelo squid, sem passar pelo Dansguardian
$IPT -A INPUT -m tcp -p tcp -s $REDE --dport 3128 -j DROP


# Redirecionar porta

# Terminal Service
#$IPT -A FORWARD -i $IF_EXTERNA -p tcp --dport 3389 -j ACCEPT
#$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to 192.168.1.250:3389

$IPT -t nat -A PREROUTING -s $IF_EXTERNA -p tcp -m tcp --dport 3389 -j DNAT --to $IF_INTERNA
$IPT -t nat -A POSTROUTING -s $IF_INTERNA -p tcp -m tcp --dport 3389 -j SNAT --to $IF_EXTERNA
$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to 192.168.1.250


echo
echo "Regras aplicadas com sucesso!!!"
echo

---------------------------------------------------------------------------------------------

Lembrando que estou usando a versão 6(squeeze) do Debian, talvez isso tenha algum relacionamento com os erros que estão acontecendo.

Eu já fiz outros servidores firewall, porem eu estava usando o slackware, e usava uma regra simples, porém eu não usava duas placas de rede. E no debian estou usando a eth0 e a eth1.

Fiz o teste de portas nesse site: http://www.yougetsignal.com/tools/open-ports/ e consta que a porta 3389 está fechada.

Agradeço a ajuda de todos. Forte Abraço

gek09
(usa Debian)

Enviado em 07/04/2011 - 09:41h

Olá dercilima, aparentemente está correto, vou instalar o squeeze e fazer um teste aqui.. assim que concluir lhe darei um retorno..

Abraço!

obrunno
(usa Debian)

Enviado em 24/05/2011 - 06:50h

Amigo,

Uso Debian Squeeze...

Basta o seguinte:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.0.1
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 192.168.0.1 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Fora isso olhe suas permissoes de INPUT ou o seu modem.

lucascatani
(usa Ubuntu)

Enviado em 05/07/2012 - 13:11h

Se for ip fixo

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d IPFIXO -j DNAT --to-destination ip_Interno_que_quero_accesar remotamente:3389

iptables -t nat -A POSTROUTING -p tcp -d ip_interno_que_quero_acessar_remotamente -j MASQUERADE


Se receber nat do modem e for ip fixo

No modem redirecionar a 3389 para o firewall

No iptables do firewall

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d IP_INTERNO_FIREWALL -j DNAT --to-destination ip_Interno_que_quero_accesar_remotamente:3389

iptables -t nat -A POSTROUTING -p tcp -d ip_interno_que_quero_acessar_remotamente -j MASQUERADE

cainf
(usa Debian)

Enviado em 20/05/2013 - 18:01h

Eu preciso acessar o meu modem DSL ele possuie o seguinte Ip

Modem - 192.168.0.1

eth0 192.168.0.10

eth1 192.168.0.250


O modem esta ligado na placa eth0 no qual faz o forward e distribui a net para a rede.

Se eu colocar esse modem no switch e digitar pelo browser o ip do modem 192.168.0.1 eu acesso mas e pela placa eth0 ?? Pergunto como faço para uma estação da minha rede acessar o modem através da placa eth0 no qual ele esta plugado ??

Desde ja agradeço

gagliardi
(usa CentOS)

Enviado em 10/12/2013 - 19:47h

Nossa quero te dar um beijo na testa