Regras Firewall

suportemega
(usa Ubuntu)

Enviado em 08/10/2007 - 23:31h

Boa Noite pessoal.

Novamente peço ajuda de todos.
Meu servidor está funcionando e estou naquele ponto de pequenos ajustes.

Meu firewall e squid está OK. Mas tem hora que no Outlook express e Microsoft outlook das estações ocorre erro "O tempo limite foi esgotado durante a comunicação com o sevidor pop ou pop3" mas o envio (SMTP) ocorre perfeitamente.
Necessito tambem que algumas máquinas da rede interna acessem uma máquina terminal service em uma rede externa na porta 3389.

Já criei uma acl Safe_portas 110 no squid.
Já criei iptables -A INPUT -p tcp --dport 110 -j ACCEPT.
Já criei um PREROUTING para a porta 3389 de quem vier da internet nesta porta acessar o meu servidor Terminal service.

Desde já agradeço quem puder me ajudar

Rodrigo-PG
(usa Conectiva)

Enviado em 09/10/2007 - 09:01h

Olá!

Cara, tambem estou com o mesmo problema que você!

Meu proxy e firewall está td certo!

Já tentei algumas regras de iptables, mas sem exito...

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s ip_interno_servidor --dport 3389 -j SNAT --to ip_da_maquina_interna

iptables -A OUTPUT --dport 3389 -d ip_da_maquina_interna -j ACCEPT

Se Alguem puder nos ajudar...
Ficarei agradecido...


Vlw

hugoalvarez
(usa Debian)

Enviado em 09/10/2007 - 09:53h

Primeiro caso:

O servidor de e-mails está aí na empresa (na rede local) ou você tem um firewall de conexão internet e quer liberar o acesso a um servidor de e-mails tipo TERRA, UOL, etc?

O proxy é transparente ou você configurou todos os browsers das estações para utilizarem conexão por proxy?

Segundo caso:

Essa regra de SNAT me parece errada, por isso não entendi , SNAT é usado quando se deseja mascarar um ip interno para sair para uma rede, o que você deseja fazer?

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s ip_interno_servidor --dport 3389 -j SNAT --to ip_da_maquina_interna

Essa regra aí diz que todos os pacotes tcp do ip_interno_servidor que saírem pela eth1 com destino a porta 3389 devem ser mascarados (SNAT) com o ip_da_maquina_interna

Quando o servidor enviar uma solicitação de conexão na porta 3389 de um host qualquer desde que essa conexão saia pela eth1 o servidor deve ter seu ip mascarado para o ip da estação?? ta errado isso.

O que você deseja é que uma rede externa acesse um servidor terminal services na sua rede local? Ou que suas estações locais acessem um servidor terminal services na internet?

Aguardo, até mais.

Hugo

suportemega
(usa Ubuntu)

Enviado em 09/10/2007 - 10:14h

hugoalvarez Bom dia,

O meu proxy não transparente. Configurei o browser das estações para ip:3128.
O firewall é o próprio Linux com o squid.
Não tenho servidor de email, tudo é serviço POP e SMTP (ig, terra, e domínio da empresa).
Já tenho uma regra que libera o acesso externo ao meu Servidor com Terminal service, necessito que as máquinas da rede interna acessem um servidor terminal Service EXTERNO.

hugoalvarez
(usa Debian)

Enviado em 09/10/2007 - 10:37h

As politicas estão negar por padrão?

iptables -P INPUT DROP
iptables -P OUTPUT DROP (pode ser accept)
iptables -P FORWARD DROP (pode ser accept)

se estiverem assim ou sem configuração estamos falando de FORWARD, tente assim:

iptables -A FORWARD -s 192.168.0.0/24 -d IP-servidor_externo -p tcp --dport 3389 -j ACCEPT

#Essa regra autoriza que seja feito forward de qualquer estação da classe 192.168.0.0/24 que enviar um pedido de conexão à porta 3389 do servidor especificado. O INPUT só é usado quando precisamos aceitar a conexão explicitamente no gateway, como linux não tem terminal services rodando na 3389 nunca é usado INPUT para terminal services em scripts de firewall de gateways linux.

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 3389 -j MASQUERADE

#Essa regra faz o mascaramento da conexão que vai sair pela eth0 com destino a porta 3389 do servidor especificado, estou supondo que eth0 seja a placa de rede internet, essa regra não precisa ser usada se você já tiver uma outra regra de mascaramento para internet, ex: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Verifique se funciona,

Até mais.

Rodrigo-PG
(usa Conectiva)

Enviado em 09/10/2007 - 11:12h

Oi!

Eu quero que minhas maquinas do servidor interno acesse minhas maquinhas do servidor Terminal Service externo
q usa a porta 3389

como ficaria a regra?

hugoalvarez
(usa Debian)

Enviado em 09/10/2007 - 12:07h

Oi Rodrigo, já tentou user as mesmas regras? é o necessário, um FORWARD para autorizar suas estações no firewall, um postrouting para despachar a conexão para internet, caso não consiga nos avise.

A ordem como as regras aparecem no script influenciam no funcionamento.

Rodrigo-PG
(usa Conectiva)

Enviado em 09/10/2007 - 13:06h

Cara eu tentei as regras q vc mandou...mas ainda nao consigo entrar no ts pela maquina interna

To precisando urgenteee!!!

o servidor é mandriva 2007

Se puder me ajudar....

Vlw

hugoalvarez
(usa Debian)

Enviado em 09/10/2007 - 14:26h

Oi, pode ser problema no retorno da conexão, se você já acertou o firewall libere o icmp para pingar o servidor externo a partir da estação,

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #caso ping esteja bloqueado

agora da estação dê um ping no servidor_externo_ts

se ele respondeu ok ative o FORWARD para encaminhar os pacotes dele para a rede interna,

iptables -A FORWARD -s ip_servidor_externo -d 192.168.0.0/24 -p tcp -j ACCEPT

supondo que a eth0 é a internet e a eth1 é a rede local, essa regra vai liberar o FORWARD de todos os pacotes enviados pelo servidor_externo para a rede interna. Normalmente não é necessária, talvez seja outro problema.

Verique se funciona agora, a ordem das regras influencia no resultado.

Se num der posta de novo.

Rodrigo-PG
(usa Conectiva)

Enviado em 10/10/2007 - 11:57h

Ae cara,

Consegui aqui..

Eu usei as suas regras, mas o problema era outro...

usei a seguinte regra pra conseguir...

$ipt -t nat -A PREROUTING -p tcp -s $rede --dport 3389 -i $local_if -j DNAT --to ip_maquina_acessada


graças a Deus tá funcionando agora!

Muito Obrigado por sua ajuda hugoalvarez!
Me ajudou mesmo!

=)

Flw