Liberar porta 5900 VNC (Squid + Iptables) [RESOLVIDO]

cprvendas
(usa Conectiva)

Enviado em 18/09/2008 - 10:47h

Olá pessoal este é meu primeiro post aqui no forum...
Gostaria de uma ajuda, sou meio leigo ainda no linux...

Tenho um servidor Conectiva 10 (Squid + iptables) estou usando ele como proxy... (fazendo grupos, regras de bloqueio de palavras etc...)

Mas cheguei a um ponto que desisti de procurar a solução para abrir portas, para fazer o acesso de alguem externo (SAO PAULO) para dentro da minha loja (PARANÁ)...

O que devo fazer para abrir a porta 5900 (VNC)... para que o cara de sao paulo acesse minha makina aki no parana?
---------------------

Meu modem: 10.1.1.1
eth0: 10.1.1.2 (modem conectado nela)
eth1: 192.168.1.1 (switch conectado nela)

Os pc´s aki usam:
IP: 192.168.1.???
MASCARA: 255.255.255.0
GATEWAY: 192.168.1.1

DNS: 192.168.1.1
----------------
Eu tenho que liberar DENTRO DO MODEM (NAT) como?
liberar a porta 5900 direcionando para qual ip? 10.1.1.1? 192.168.1.1? 192.168.1.(ipdamakinaVNCSERVER)?
----------------
O que tenho que fazer dentro do Squid?
O que tenho que fazer dentro do IPTABLES?
----------------
Repito: sou leigo... se tiver como me passar passo a passo... eu fikaria muito grato!
----------------
Obs: Meu servidor ta bem limpo(é novo)...
Não tem muitas permissões... somente as básicas..
Ele está funcionando perfeitamente... meu unico problema é liberar a porta 5900 ( e outras também... mas me explicando como libera a 5900 já me ajuda)
----------------
* O cara ta em são paulo... ele ker acessar eu aki no parana (sou VNC SERVER)!!!
Ele não tem nada de servidor .. ele é direto no modem!!!

TothBR
(usa Debian)

Enviado em 18/09/2008 - 11:10h

Olá amigo! bom vc vai ter que liberar a porta do vnc do modem direcionando para seu firewall e no firewall vc cria as regras de iptables direcionando para sua máquina local segue abaixo:

iptables -A FORWARD -p tcp -d 192.168.1.254 --dport 5900 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.1.254 --dport 5900 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 5900 -j DNAT --to 192.168.1.254:5900
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 5900 -j DNAT --to 192.168.1.254:5900
iptables -t nat -A PREROUTUNG -p tcp --dport 5900 -j DNAT --to-destination 192.168.1.254:5900
iptables -t nat -A PREROUTUNG -p udp --dport 5900 -j DNAT --to-destination 192.168.1.254:5900

Uso estas regras aqui e funciona perfeitamente abraços.

cprvendas
(usa Conectiva)

Enviado em 18/09/2008 - 14:07h

Olá leociroz... Obrigado por ter tentado me ajudar...

Infelizmente não funcionou, até achei q iria funcionar pq o código parecia bem convincente..
Bem, liberei a porta do modem (NAT) 5900 para:
10.1.1.2(eth0 - MODEM);
192.168.1.1(eth1 - SWITCH);
192.168.1.254(micro server VNC);
Só pra garantir...

Mas não funcionou... fiz como vc falou...

Outra coisa vc colocou $iptables ... aki nenhuma permissão tem esse $ (CIFRÃO) ... por esse motivo eu deixei sem....

não entendi o tal $IF_EXTERNA o q é isso?
Tenho q direcionar isso pra alguma eth?

Espero resposta...

Obrigado.

Leo_Freitas
(usa Fedora)

Enviado em 18/09/2008 - 14:47h

Cara... Via iptables é bem simples...
Faça uma regra para tudo que vier do IP de quem irá acessar (exemplo 200.187.54.21) na porta 5900 (do VNC) usando protocolo TCP para seu servidor, seja redirecionado pro IP onde está o VNC (no exemplo o 192.168.0.45):
iptables -t nat -I PREROUTING -s 200.187.54.21 -p tcp --dport 5900 -j DNAT --to-dest 192.168.0.45:5900
E, após isso, crie uma regra que permita a passagem dos pacotes que você redirecionou:
iptables -I FORWARD -s 200.187.54.21 -d 192.168.0.45 -p tcp --dport 5900 -j ACCEPT

Leo_Freitas
(usa Fedora)

Enviado em 18/09/2008 - 14:51h

E sobre o post acima, $IF_EXTERNA é uma variável que diz qual é a sua interface de saída do servidor. Porém, ela precisa ser declarada antes da regra (usando exemplo que sua interface de saída é a eth1):
IF_EXTERNA='eth1'
O "$" serve para chamar a variável na regra.

ardaz
(usa Debian)

Enviado em 18/09/2008 - 15:16h

Cara, eu tava com o mesmo problema mais é o seguinte, pra acessar externo, e se a sua placa da rede 10 for o gateway, vc tem que liberar isso no firewall do modem também senão não funciona o iptables.

TothBR
(usa Debian)

Enviado em 18/09/2008 - 22:18h

Olá amigo! bem qto ao $ é uma variavel declarada no inicio do seu script de iptables, qto a $if_externa é sua placa de rede externa no caso eth0 a sua conectada ao modem, to usando junto ao VNC aqui o no-ip e funciona perfeitamente vc tem que ver se realmente ta passando pelo seu modem as chamadas para esta porta as vezes até seu micro interno esteje bloqueando. Outra coisa poste seu firewall aqui para darmos uma olhada, acho que o problema esteje nele, ah editei o post anterior conforme sua necessidade abraços.

cprvendas
(usa Conectiva)

Enviado em 19/09/2008 - 09:08h

Aqui esta meu firewall:
-----------------------
#!/bin/sh
# description: Inicialização do IPTABLES
#
# chkconfig: 2345 80 30
# processname: iptables
# pidfile: /var/run/iptables.pid

. /etc/rc.d/init.d/functions
. /etc/sysconfig/network

if [ ${NETWORKING} = "no" ]
then
exit 0
fi

case "$1" in
start)
gprintf "Iniciando o serviço de %s: " "IPtables"
echo
echo 1 > /proc/sys/net/ipv4/ip_forward

## Habilitando Modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
# modprobe ipt_unclean
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ip_nat_ftp

## Definindo a Politica default
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Limpando as regras existentes
iptables -t filter -F
iptables -t nat -F

IF_EXTERNA=eth1
## Libera
iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.1.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
iptables -A FORWARD -p tcp -d 192.168.1.254 --dport 5900 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.1.254 --dport 5900 -j ACCEPT
#iptables -A FORWARD -i $IF_EXTERNA -p tcp --dport 5900 -m state --state NEW,ESTABILISHED,RELATED -j ACCEPT
#iptables -A FORWARD -i $IF_EXTERNA -p udp --dport 5900 -m state --state NEW,ESTABILISHED,RELATED -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -i $IF_EXTERNA --dport 5900 -j DNAT --to 192.168.1.254:5900
#iptables -t nat -A PREROUTING -p upd -i $IF_EXTERNA --dport 5900 -j DNAT --to 192.168.1.254:5900




iptables -L -n
;;
stop)
gprintf "Parando o serviço de %s: " "IPtables"
echo
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t nat -P POSTROUTING DROP
iptables -t filter -F
iptables -t nat -F
iptables -t filter -L -n
iptables -t nat -L -n
rmmod ipt_state ipt_MASQUERADE iptable_nat ip_conntrack iptable_filter ip_tables
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
;;
status)
gprintf "Status do serviço de %s: " "IPtables"
iptables -t filter -L -n
iptables -t nat -L -n
;;
*)
gprintf "Uso: iptables (start|stop|status)"
echo
;;
esac

exit 0
------------
Pessoal, se puderem editar meu firewall e colar.. pq dae copío e jogo dentro do meu servidor...
Lembrando q minha eth0(10.1.1.2) é ligada no modem... modem(10.1.1.1)..................................
Minha eth1(192.168.1.1) é ligada no switch...
------------
Meu modem ta com nat aberta (porta 5900) direcionando para 192.168.1.1, 10.1.1.2 e 192.168.1.254(VNCserver) .....já liberei pra três ip´s para garantir!!!
------------
O firewall do modem ta desligado! o modem direto no pc (sem o proxy) funciona normalmente!
------------
Agurado resposta....
Grato!!!

link do iptables: http://rapidshare.com/files/146570409/iptables.html
http://w14.easy-share.com/1701626227.html

TothBR
(usa Debian)

Enviado em 19/09/2008 - 11:53h

Olá bom dia!

Antes de conferir seu script de iptables vc chegou a aplicar as regras anteriores que editei pra vc?

Abraços

cprvendas
(usa Conectiva)

Enviado em 19/09/2008 - 14:48h

Sim, já coloquei mil configs... não tem jeito =(

Testei a sua também... =(

Aguardo o iptables editado... obrigado...

cprvendas
(usa Conectiva)

Enviado em 22/09/2008 - 10:19h

Queria agradecer a todos que me ajudaram, em especial, o leociroz que graças as suas dicas o problema de liberação foi resolvido!

Coloquei as seguintes linhas dentro do meu firewall:

iptables -A FORWARD -p tcp -d IPVNCSERVER --dport 5900 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 5900 -j DNAT --to IPVNCSERVER:5900
---------------------------------------
lembrando q vc deve direcionar DENTRO DO MODEM (NAT) a porta 5900 pro ip da placa de rede eth0 que espeta o modem!