Redirecionamento de porta

cassianoag
(usa CentOS)

Enviado em 22/10/2009 - 12:54h

Estou em um lugar que habilitei a porta 2222 (SSH) no servidor de internet e também no modem (está roteado). Está acontecendo algo que não estou entendendo, preciso acessar outro servidor (externo - acesso remoto) pela porta 2222 (SSH). Usando o Winscp ao colocar o outro ip do servidor, a porta 2222 acontece que redireciona para o servidor que eu estou atualmente.

Alguém já passou por isso e sabe o que deve está acontecendo?

As regras que eu possuo é a seguinte:
touch /var/lock/subsys/local
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.1
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth2 -j MASQUERADE

Agradeço pela atenção.

volcom
(usa Debian)

Enviado em 22/10/2009 - 13:28h

Se não me engano você tem que fazer o direcionamento da porta 22 para a 2222.

Do jeito que esta fazendo, indica para que as conexões que venham pela porta 2222 apontem para o IP...

Não sei bem como fazer...mas acho que já ajuda!

cassianoag
(usa CentOS)

Enviado em 22/10/2009 - 13:55h

Veja esta regra que consta abaixo

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1

Descobrir que esta regra faz com que toda a requisição que eu fizer dentro da rede interna usando a porta 2222 irá direcionar sempre para a o ip interno 192.168.0.1 (meu servidor). Aí está meu questionamento como posso resolver isso criando outra regra.

gesousa
(usa Ubuntu)

Enviado em 22/10/2009 - 14:17h

vc pode criar uma exceção na regra ...
iptables -t nat -A PREROUTING -i eth1 -d ! 200.200.200.200 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1

a regra acima estou dizendo que a regra não deve ser aplicada ao ip 200.200.200.200

outra forma é se tiver vários ips, vc pode criar uma tabela nat e adicionar os ips nela...

# Cria a lista
iptables -t nat -N SSH

# desvia tudo que for porta 2222 para a lista SSH
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2222 -j SSH

# Agora na lista SSH:
# para cada IP que se deseja PULAR o SSH,
# Cria uma regra como esta a seguir:
iptables -t nat -A SSH -d 200.200.200.200 -j RETURN
...

# No fim, a regra que desvia
iptables -t nat -A SSH -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1

Bom essa dica é do Elgio para proxy só adaptei para o seu caso...

fonte: http://www.vivaolinux.com.br/topico/netfilter-iptables/Liberar-um-site-no-iptables.

klebrr
(usa Linux Mint)

Enviado em 22/10/2009 - 14:27h

Seja mais especifico na regra, exemplo:
SSH na porta 22 e vc tentando na porta 2222
Firewall redirecionando portas seria asssim:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 192.168.0.1 --dport 2222 -j DNAT --to-destination 192.168.0.1:22
# tudo que entrar pela eth1 com protocolo tcp com destino ao ip 192.168.0.1 na porta 2222 Redirecione para 192.168.0.1 porta 22

No seu caso não precisa criar redirecionamento se a porta é a mesma que vc está acessando (2222(ssh) --->2222(sshd))

Para acesso externo a regra seria:
iptables -A FORWARD -p tcp --dport 2222 -j ACCEPT
mas pelo que vi já tá padrão
iptables -P FORWARD ACCEPT

Então resta remover esse redirecionamento.