Firewal com a porta 3389 aberta

1. Firewal com a porta 3389 aberta

Rodrigo Testa
(usa Mandrake)

Enviado em 29/12/2005 - 17:30h

olá pessoal gostaria de uma ajuda por favor tenho um firewall com duas placas eth0 e eth1 a eth0 entra o ip valido da net 200.163.xx.xx e roteia a net para a eth1 no ip 192.163.0.254, mas eu tenho que acessar o meu windows 2003 de fora da empresa e já tentei mas não estou conseguindo, já coloquei várias regras e não vai de jeito nenhum..... Uso conectiva 8.0 no meu firewalll e não sei o que pode estar errado. Segue o meu arquivo de firewaal para vc verem....

## Firewall por bloqueio de pacotes
##

## inicializa o firewall setando algumas variaveis
#echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
#echo 1 > /proc/sys/net/ipv4/ip_forward

#IPTABLES="/sbin/iptables"

#modprobe iptable_nat
#modprobe ip_nat_ftp
#modprobe ip_conntrack_ftp
#modprobe ip_vs_ftp

## Interface Loopback
LOOPBACK="lo"

## Interface Externa
EXTIF="eth0"
EXTIP=`ifconfig $EXTIF | grep inet | cut -d : -f 2 | cut -d \ -f 1`
EXTNET="200.163.51.82/255.255.255.0"

## Interfaces Internas (eth0)
INTIF1="eth1"
INTIP1=`ifconfig $INTIF | grep inet | cut -d : -f 2 | cut -d \ -f 1`
INTNET1="192.168.0.254/255.255.255.0"

## Rede Internet
#ANY="0/0"

## Attempt to Flush All Rules in Filter Table
#$IPTABLES -F
#$IPTABLES -F -t nat
#iptables -F
#iptables -t nat -F

## Flush Built-in Rules
#$IPTABLES -F INPUT
#$IPTABLES -F OUTPUT
#$IPTABLES -F FORWARD
#iptables -F INPUT
#iptables -F OUTPUT
#iptables -F FORWARD

## regras para permitir e bloquear o ping
# configura um bloqueio de pings ICMP 8 (echo reply)
#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

## libera o ip 127.0.0.1
#$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

## Regra contra contra o pacotes danificados ou suspeitos
#$IPTABLES -A INPUT -m unclean -j DROP

# permite o ping das redes do flash, reginamundi e colnet
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 200.193.128.0/29 -j ACCEPT
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 200.203.151.64/26 -j ACCEPT
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 200.250.8.208/28 -j ACCEPT
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 200.163.122.40/28 -j ACCEPT
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 200.163.61.177 -j ACCEPT

# permite o ping da rede administrativa
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 192.168.0.0/24 -j ACCEPT

# nega o ping da rede pedagogica
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 192.168.2.0/24 -j DROP

# nega o resto das redes
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

## regra de validacao de pacotes
# qualquer coisa que vier pela rede interna tem que ter um ip da rede interna
#$IPTABLES -A FORWARD -i $INTIF1 -s ! $INTNET1 -j DROP
#$IPTABLES -A INPUT -i $INTIF1 -s ! $INTNET1 -j DROP
#$IPTABLES -A FORWARD -i $INTIF2 -s ! $INTNET2 -j DROP
#$IPTABLES -A INPUT -i $INTIF2 -s ! $INTNET2 -j DROP
#iptables -A FORWARD -i $INTIF1 -s ! $INTNET1 -j DROP
#iptables -A INPUT -i $INTIF1 -s ! $INTNET1 -j DROP
#iptables -A FORWARD -i $INTIF2 -s ! $INTNET2 -j DROP
#iptables -A INPUT -i $INTIF2 -s ! $INTNET2 -j DROP

# da internet deve vir somente pacotes da internet. Nao permitir pacotes de intranets
#iptables -A FORWARD -i $EXTIF -s 192.168.0.0/16 -j DROP
#iptables -A INPUT -i $EXTIF -s 192.168.0.0/16 -j DROP
#$IPTABLES -A FORWARD -i $EXTIF -s 192.168.0.0/16 -j DROP
#$IPTABLES -A INPUT -i $EXTIF -s 192.168.0.0/16 -j DROP
#$IPTABLES -A FORWARD -i $EXTIF -s 172.16.0.0/12 -j DROP
#$IPTABLES -A INPUT -i $EXTIF -s 172.16.0.0/12 -j DROP
#$IPTABLES -A FORWARD -i $EXTIF -s 10.0.0.0/8 -j DROP
#$IPTABLES -A INPUT -i $EXTIF -s 10.0.0.0/8 -j DROP

# bloquear as portas de irc, mirc e outros servicos
#$IPTABLES -A FORWARD -o $EXTIF -p tcp --dport 1023:5599 -j ACCEPT
#$IPTABLES -A FORWARD -o $EXTIF -p tcp --dport 6000:9999 -j DROP
#$IPTABLES -A FORWARD -o $EXTIF -p tcp --dport 10000: -j ACCEPT

## permite conecçoes ja estabelecidas
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

##
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING -s 192.168.2.0/24 -d 0/0 -p tcp --dport 80 -j REDIRECT
#--to-port 3128

## faz o nat das maquinas na rede interna 1 e 2
#iptables -A POSTROUTING -t nat -s $INTNET1 -o $EXTIF -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -s $INTNET2 -o $EXTIF -j MASQUERADE

# Liberando as portas
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT
iptables -A INPUT -p udp --destination-port 3389 -j ACCEPT

# Direcionando a porta 3389
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.0.150:3389
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 192.168.0.150 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-dest 192.168.0.150:3389
iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 192.168.0.150 -j ACCEPT

0 0

Quote

2. Interface

telson
(usa Slackware)

Enviado em 15/03/2006 - 17:45h

Amigo, tb faço roteamento aki na empresa com linux, meu caso eh parecido com o seu, tenho um servidor windows 2000 dentro da minha rede, e consigo acessá-lo sem problema com a seguinte regra

iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ppp0 -j DNAT --to 10.3.87.10

Vi que vc tem uma regra quase igual a não ser pela interface de entrada do pacote que vc especificou a placa de rede eth0 eu o meu modem ADSL ppp0, entao pergunto eu, será que essa placa de rede eth0 sua tb não esta ligada a um modem não? dah um comando ifconfig ae pra listar suas interfaces e verifica se o seu caso eh igual ao meu, se for substitui na regra a interface eth0 pela interface do modem. ok!

0 0

Quote

3. Re: Firewal com a porta 3389 aberta

fransdantas
(usa Debian)

Enviado em 15/11/2009 - 18:50h

Voce colocou em seu firewall o seguinte para abrir a porta RDP
# Liberando as portas
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT

Mas nao informa na chain qual a interface, tente colocar da seguinte forma por favor
$IPTABLES -A INPUT -p tcp --dport 3389:3389 -i eth0 -j ACCEPT
Estou levando em consideração na regra acima que a eth0 é a interface WAN

Agora as regras de NAT
Note que eth1 é a minha interface local
eth0 é a minha interface wan representada pela variavel $IPWEB
$IPTABLES -t nat -A PREROUTING -p tcp -d $IPWEB --dport 3389:3389 -j DNAT --to-destination 192.168.0.100
$IPTABLES -t nat -A POSTROUTING -o eth1 -p tcp -d 192.168.0.100 --sport 3389:3389 -j SNAT --to-source $IPWEB
$IPTABLES -t nat -A PREROUTING -i $ENT -p tcp -d $IPWEB --dport 3389:3389 -j DNAT --to-destination 192.168.0.100
#(COMPLEMENTO DE REGRAS)
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d $IPWEB --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
$IPTABLES -t nat -A POSTROUTING -o eth1 -p tcp -d 192.168.0.100 --dport 3389 -j SNAT --to-source $IPWEB

Espero que estas dados possam te ajudar, um grande abraço!

0 0

Quote