Liberar Área de trabalho remota

a.gustavo
(usa Debian)

Enviado em 14/11/2007 - 17:51h

Olá pessoal, sou um pouco novo no linux e estou com uma dúvida. (já vi alguns tópicos a respeito mas não consegui resolver meu problema).

Minha rede:
Roteador D-LINK 500B
Firewall iptables
Rede interna

Ip da conexão com a internet: 10.1.1.100
Ip da rede interna: 192.168.0.1

Gostaria de liberar acesso à Area de Trabalho Remota do ip 192.168.0.3 (windows 2003).

Fiz o nat no modem liberando a porta 3389 para o ip 10.1.1.100

Meu iptables (copiei de algum tópico aqui no forum onde o mesmo problema foi resolvido)


# Zera as regras
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


# Carrega os modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp


# Politica de acesso
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# Ativa o masquerading
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Ativa o roteamente no kernel
echo "1" > /proc/sys/net/ipv4/ip_forward


# Proxy Transparente
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


# Abertura de portas


### Conexoes estabelecidas

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


### Área de trabalho remota
iptables -A INPUT -p tcp -s 0/0 --dport 3389 --syn -j ACCEPT



# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT


# Redireciona portas para maquinas da rede


### Área de trabalho remota
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.200

Não acessa via terminal de fora da rede, o que eu posso estar fazendo errado?

Obrigado desde já...

elgio
(usa OpenSuSE)

Enviado em 14/11/2007 - 18:59h

Pois é, é a minha ETERNA crítica de que NÃO SE CONFIGURA FIREWALL por copy and paste!

Cara, as regras que tu pegou tem até proxy transparente e tu não tá nem perto de precisar disto!

Veja estas duas (entendes iptables?):
iptables -A INPUT -p tcp -s 0/0 --dport 3389 --syn -j ACCEPT

Nesta tu libera no INPUT a porta do terminal. OK, 100%.

### Área de trabalho remota
iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.200

E nesta tu redireciona a porta que tu abriu para 192.168.0.200 (??????) Claro, isto devia ser a realidade do cara que elaborou as regras, mas de longe é a tua. No teu caso a própria máquina onde está o firewall é o terminal! Viagem!

Sugiro que limpe todas as regras e faça as suas, otimizadas para o teu caso.
No entanto, por hora, acho que só comentando esta última funciona (mas veja, este scripTÃO iptables tem muito, mas muito, mas MUIIIIITTTOOOOOOO LIXO!! Sério! Dá uma lida nos meus artigos e dicas.

[]'s

a.gustavo
(usa Debian)

Enviado em 14/11/2007 - 20:04h

desculpe, mas eu editei para o meu IP correto no firewall, a regra está com o ip 192.168.0.3 e não como 192.168.0.200 como citei aqui. Tem mais algo q eu possa fazer?

Já estou dando uma olhada nos seus artigos, obrigado pela atenção

suportemega
(usa Ubuntu)

Enviado em 20/11/2007 - 13:51h

Boa tarde colegas do VOL;

Na minha rede interna tem um terminal service que é acessado de uma rede externa:

iptables -t nat -A PREROUTING -t nat -p tcp -d 0/0 --dport 3389 -j DNAT --to 192.168.254.5

Porem nehuma máquina da rede interna acessa um terinal service externo (de um cliente).Alguem pode me ajudar?

elgio
(usa OpenSuSE)

Enviado em 20/11/2007 - 14:08h

Tu estás fazendo NAT para a rede interna também o que não é necessário e, dependendo da tua rede, INDESEJÁVEL.

Refine sua regra:
iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 3389 -j DNAT --to 192.168.254.5

Coloque um -i PlacaExterna. Se a tua placa EXTERNA for a eth0:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.254.5

suportemega
(usa Ubuntu)

Enviado em 20/11/2007 - 14:40h

elgio

Com isto minhas máquinas da rede interna acessarao um terminal service em uma rede externa(internet)?

elgio
(usa OpenSuSE)

Enviado em 20/11/2007 - 15:20h

Possivelmente... não posso dar-te certeza porque não conheço a estrutura da tua rede.

Mas veja que como estava até o tráfego INTERNO para EXTERNO era desviado. Agora com o -i interface o INTERNO não é desviado.

Mas se vai funcionar depende de outros fatores, como, por exemplo, se estás ou não fazendo mascaramento de IP e se o estás para esta porta.