Regras Firewall

1. Regras Firewall

Suporte Mega
suportemega

(usa Ubuntu)

Enviado em 08/10/2007 - 23:31h

Boa Noite pessoal.

Novamente peço ajuda de todos.
Meu servidor está funcionando e estou naquele ponto de pequenos ajustes.

Meu firewall e squid está OK. Mas tem hora que no Outlook express e Microsoft outlook das estações ocorre erro "O tempo limite foi esgotado durante a comunicação com o sevidor pop ou pop3" mas o envio (SMTP) ocorre perfeitamente.
Necessito tambem que algumas máquinas da rede interna acessem uma máquina terminal service em uma rede externa na porta 3389.

Já criei uma acl Safe_portas 110 no squid.
Já criei iptables -A INPUT -p tcp --dport 110 -j ACCEPT.
Já criei um PREROUTING para a porta 3389 de quem vier da internet nesta porta acessar o meu servidor Terminal service.

Desde já agradeço quem puder me ajudar


  


2. Porta 3389 para TS

Rodrigo
Rodrigo-PG

(usa Conectiva)

Enviado em 09/10/2007 - 09:01h

Olá!

Cara, tambem estou com o mesmo problema que você!

Meu proxy e firewall está td certo!

Já tentei algumas regras de iptables, mas sem exito...

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s ip_interno_servidor --dport 3389 -j SNAT --to ip_da_maquina_interna

iptables -A OUTPUT --dport 3389 -d ip_da_maquina_interna -j ACCEPT

Se Alguem puder nos ajudar...
Ficarei agradecido...


Vlw


3. Re: Regras Firewall

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 09/10/2007 - 09:53h

Primeiro caso:

O servidor de e-mails está aí na empresa (na rede local) ou você tem um firewall de conexão internet e quer liberar o acesso a um servidor de e-mails tipo TERRA, UOL, etc?

O proxy é transparente ou você configurou todos os browsers das estações para utilizarem conexão por proxy?

Segundo caso:

Essa regra de SNAT me parece errada, por isso não entendi , SNAT é usado quando se deseja mascarar um ip interno para sair para uma rede, o que você deseja fazer?

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s ip_interno_servidor --dport 3389 -j SNAT --to ip_da_maquina_interna

Essa regra aí diz que todos os pacotes tcp do ip_interno_servidor que saírem pela eth1 com destino a porta 3389 devem ser mascarados (SNAT) com o ip_da_maquina_interna

Quando o servidor enviar uma solicitação de conexão na porta 3389 de um host qualquer desde que essa conexão saia pela eth1 o servidor deve ter seu ip mascarado para o ip da estação?? ta errado isso.

O que você deseja é que uma rede externa acesse um servidor terminal services na sua rede local? Ou que suas estações locais acessem um servidor terminal services na internet?

Aguardo, até mais.

Hugo


4. regras firewall

Suporte Mega
suportemega

(usa Ubuntu)

Enviado em 09/10/2007 - 10:14h

hugoalvarez Bom dia,

O meu proxy não transparente. Configurei o browser das estações para ip:3128.
O firewall é o próprio Linux com o squid.
Não tenho servidor de email, tudo é serviço POP e SMTP (ig, terra, e domínio da empresa).
Já tenho uma regra que libera o acesso externo ao meu Servidor com Terminal service, necessito que as máquinas da rede interna acessem um servidor terminal Service EXTERNO.



5. Re: Regras Firewall

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 09/10/2007 - 10:37h

As politicas estão negar por padrão?

iptables -P INPUT DROP
iptables -P OUTPUT DROP (pode ser accept)
iptables -P FORWARD DROP (pode ser accept)

se estiverem assim ou sem configuração estamos falando de FORWARD, tente assim:

iptables -A FORWARD -s 192.168.0.0/24 -d IP-servidor_externo -p tcp --dport 3389 -j ACCEPT

#Essa regra autoriza que seja feito forward de qualquer estação da classe 192.168.0.0/24 que enviar um pedido de conexão à porta 3389 do servidor especificado. O INPUT só é usado quando precisamos aceitar a conexão explicitamente no gateway, como linux não tem terminal services rodando na 3389 nunca é usado INPUT para terminal services em scripts de firewall de gateways linux.

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 3389 -j MASQUERADE

#Essa regra faz o mascaramento da conexão que vai sair pela eth0 com destino a porta 3389 do servidor especificado, estou supondo que eth0 seja a placa de rede internet, essa regra não precisa ser usada se você já tiver uma outra regra de mascaramento para internet, ex: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Verifique se funciona,

Até mais.


6. RE:porta 3389 terminal service

Rodrigo
Rodrigo-PG

(usa Conectiva)

Enviado em 09/10/2007 - 11:12h

Oi!

Eu quero que minhas maquinas do servidor interno acesse minhas maquinhas do servidor Terminal Service externo
q usa a porta 3389

como ficaria a regra?




7. Re: Regras Firewall

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 09/10/2007 - 12:07h

Oi Rodrigo, já tentou user as mesmas regras? é o necessário, um FORWARD para autorizar suas estações no firewall, um postrouting para despachar a conexão para internet, caso não consiga nos avise.

A ordem como as regras aparecem no script influenciam no funcionamento.


8. Re: Regras Firewall

Rodrigo
Rodrigo-PG

(usa Conectiva)

Enviado em 09/10/2007 - 13:06h

Cara eu tentei as regras q vc mandou...mas ainda nao consigo entrar no ts pela maquina interna

To precisando urgenteee!!!

o servidor é mandriva 2007

Se puder me ajudar....

Vlw


9. Re: Regras Firewall

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 09/10/2007 - 14:26h

Oi, pode ser problema no retorno da conexão, se você já acertou o firewall libere o icmp para pingar o servidor externo a partir da estação,

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #caso ping esteja bloqueado

agora da estação dê um ping no servidor_externo_ts

se ele respondeu ok ative o FORWARD para encaminhar os pacotes dele para a rede interna,

iptables -A FORWARD -s ip_servidor_externo -d 192.168.0.0/24 -p tcp -j ACCEPT

supondo que a eth0 é a internet e a eth1 é a rede local, essa regra vai liberar o FORWARD de todos os pacotes enviados pelo servidor_externo para a rede interna. Normalmente não é necessária, talvez seja outro problema.

Verique se funciona agora, a ordem das regras influencia no resultado.

Se num der posta de novo.


10. Deu Certo!!!!

Rodrigo
Rodrigo-PG

(usa Conectiva)

Enviado em 10/10/2007 - 11:57h

Ae cara,

Consegui aqui..

Eu usei as suas regras, mas o problema era outro...

usei a seguinte regra pra conseguir...

$ipt -t nat -A PREROUTING -p tcp -s $rede --dport 3389 -i $local_if -j DNAT --to ip_maquina_acessada


graças a Deus tá funcionando agora!

Muito Obrigado por sua ajuda hugoalvarez!
Me ajudou mesmo!

=)

Flw






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts