Squid3 estará bloqueando meu acesso RDP? [RESOLVIDO]

thiagoradical
(usa Debian)

Enviado em 13/12/2012 - 18:32h

Tenho um Servidor squid3 rodando blz, porem nao consigo acesso remoto externo.
Meu modem dlink 500B tem o NAT Liberado para ip local da maquina que possuo,porem se o servidor linux estiver rodando ele bloqueia a conexão RDP, mas eu nao tenho nenhum regra pra bloqueio de conexao RDP. Se eu tirar o servidor linux da rede e deixar direto no modem funciona blz...
Obs: ETH0 IP do modem adsl 192.168.0.1
ETH1 com servidor dhcp atribuindo IP 10.1.1.0.
Segue meu squid.conf

# Mensagem de erro em Português
error_directory /usr/share/squid3/errors/Portuguese

http_port 3128 intercept
#visible_hostname squid

cache_mem 2048 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512000 KB
minimum_object_size 8 KB
access_log /var/log/squid3/access.log squid
cache_swap_low 90
cache_swap_high 95
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_dir AUFS /var/spool/squid3 10000 16 256
cache_access_log /var/log/squid3/access.log squid
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
#acl Safe_ports port 22 2222 # ssh server
acl Safe_ports port 443 563 # https snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 110 25 # pop-smtp
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
#acl Safe_ports port 5800 # VNC
#acl Safe_ports port 3389 # RDP
#acl Safe_ports port 3387 # cadastro
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


# Cache atualizacao avast
refresh_pattern avast.com/.*\.(vpu|cab|stamp|exe) 10080 100% 43200 reload-into-ims


#Dns
dns_nameservers 201.10.120.3
dns_nameservers 8.8.8.8


# Regra para bloqueio de extensões de rádios online / arquivos de streaming:
acl streaming req_mime_type ^video/x-ms-asf
acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$ \.flv$

http_access deny proibir_musica
http_reply_access deny streaming


acl downloads url_regex -i "/etc/squid3/downloads"
acl download_on url_regex -i "/etc/squid3/download_on"
acl ext-bloqueados url_regex -i "/etc/squid3/ext-bloqueados"
acl ip_liberado src "/etc/squid3/ip_liberado"
acl palavrasproibidas dstdom_regex -i "/etc/squid3/palavrasproibidas"
acl bloqueados url_regex -i "/etc/squid3/bloqueados"


http_access deny ext-bloqueados !ip_liberado
http_access deny downloads !download_on
http_access allow ip_liberado
http_access deny proibir_musica !ip_liberado
http_access deny proibir_musica
http_access deny palavrasproibidas
http_reply_access deny streaming !ip_liberado
http_access deny bloqueados !ip_liberado



acl redelocal src 10.1.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

andrecanhadas
(usa Debian)

Enviado em 13/12/2012 - 22:32h

deve abrir a porta 3389 no seu linux e redirecionar para sua maquina windows

thiagoradical
(usa Debian)

Enviado em 14/12/2012 - 08:37h

Caro colega Andre, obrigado pela disponibilidade, segue a baixo três regras que coloquei no iptables, para dar conexao RDP.

#Libera trafego total para a porta
iptables -A INPUT -p tcp ! --sport 3389:3389 -j ACCEPT

#Para fazermos DNAT para um terminal service, é necessário especificarmos a porta 3389
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 10.1.1.10

# Acesso remoto via RDP para um host RWindows
iptables -t nat -A PREROUTING -i $ eth1 -p tcp --dport 3389 -j REDIRECT --to 10.1.1.10:3389

Obs: Não sou exper em Firewall porem, ignore caso tenha errado em alguma regra, aguardo ajuda,obrigado.
So pra lembrar eu possuo IP FIxo e no NAT do modem eu redirecionei para o ip desejado,para bendita conexao externa...

andrecanhadas
(usa Debian)

Enviado em 14/12/2012 - 09:45h

Tem algumas coisa erradas:

#Libera trafego total para a porta

iptables -A INPUT -p tcp --dport 3389 -j ACCEPT



#Para fazermos DNAT para um terminal service, é necessário especificarmos a porta 3389

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 10.1.1.10 

 

Esta não precisa mas é util quando usa uma outra porta para acesso externo e redireciona para a porta na maquina que quer:

# Acesso remoto via RDP para um host RWindows
iptables -t nat -A PREROUTING -i $ eth1 -p tcp --dport 3389 -j REDIRECT --to 10.1.1.10:3389

andrecanhadas
(usa Debian)

Enviado em 14/12/2012 - 09:53h

Ou ainda varias porta se tiver mais de uma maquina que precise de RDP:

# Abrindo INPUT externo RDP

iptables -A INPUT -i eth0 -p tcp -m multiport –dport 3388,3389,3390,3391 -j ACCEPT



## Redirecionando trafego RDP



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 3388 -j DNAT –to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 3389 -j DNAT –to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 3390 -j DNAT –to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 3391 -j DNAT –to-destination 192.168.0.x:3389



 

O acesso de fora se faria pelo IP-externo:porta ex: (189.XXX.XXX.XX:3391)

thiagoradical
(usa Debian)

Enviado em 14/12/2012 - 09:58h

Irei fazer as mudanças e , posto aqui dento de alguns instantes, obrigado.

thiagoradical
(usa Debian)

Enviado em 14/12/2012 - 13:26h

Caro colega, esta aparecendo o seguinte erro...
Bad argument '3388,3389'3390,3391'

No momento estou lendo algumas referencias sobre tais regras... porem nao tive sucesso ainda...
IP do modem eth0 192.168.0.1
Lan eth1 10.1.1.1/254
meu ip fixo 201.88.122.31

Lembrando quando eu removo o server linux da rede , eu tenho a conexao rdp externa pela conexao de area de trabalho remota normalmente...

Grato pela ajuda, e disponibilidade de seu tempo, desculpa a falta de conhecimento, estou estudando pra melhor compreensão...

andrecanhadas
(usa Debian)

Enviado em 14/12/2012 - 13:30h

Quando copie e colei ficou errado : (–dport 3391 -j DNAT –to-destination)

Ou ainda varias porta se tiver mais de uma maquina que precise de RDP:

# Abrindo INPUT externo RDP

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 3388,3389,3390,3391 -j ACCEPT



## Redirecionando trafego RDP



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3388 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.x:3389



 

andrecanhadas
(usa Debian)

Enviado em 14/12/2012 - 13:30h

Quando copie e colei ficou errado : (–dport 3391 -j DNAT –to-destination)

Ou ainda varias porta se tiver mais de uma maquina que precise de RDP:

# Abrindo INPUT externo RDP

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 3388,3389,3390,3391 -j ACCEPT



## Redirecionando trafego RDP



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3388 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.0.x:3389



iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.x:3389



 

thiagoradical
(usa Debian)

Enviado em 17/12/2012 - 09:32h

Bom dia Andre:
Apos mudançãs o erro ainda persiste Bad argument nas porta 3388,3389,3390,3391. ,Segue abaixo as regras , caso haja erro, me aponte o erro

##Libera trafego total para a porta

iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

##Para fazermos DNAT para um terminal service, é necessário especificarmos a porta 3389

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 10.1.1.10

## Redirecionando trafego RDP

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.10:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 177.1.92.16:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.3:3389

andrecanhadas
(usa Debian)

Enviado em 17/12/2012 - 10:05h

Faça como mostrei acima esta direcionando a mesma porta para varios servidores.

thiagoradical
(usa Debian)

Enviado em 17/12/2012 - 11:18h

Andre, segue abaixo meu arquivo firewall, lembrando que infelismente eu sou muito ruim em iptables,mas estou estudando...
Uso esse script de firewall por causa do servidor squid3 que roda blzinha...



GNU nano 2.2.4 Arquivo: /usr/local/bin/firewall

#!/bin/bash
#
# Script criado por Office

echo "Ativando compartilhamento"

#Ativando Roteamento de pacote
echo 1 > /proc/sys/net/ipv4/ip_forward

#NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Compartinhamento ativado"

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

### Redirecionando trafego RDP
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 177.1.94.146:3389

###Libera acesso TS
iptables -t nat -p tcp -A PREROUTING -s 0/0 -d <177.1.94.146> --dport 3389 -j DNAT --to <10.1.1.10>
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT

# Abrindo INPUT externo RDP
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 3388,3389,3390,3391 -j ACCEPT
 
## Redirecionando trafego RDP
  
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 177.1.94.146:3389
 
Eu nao consigo atraves de um computador de qualquer lugar usando o serviço do windows de acesso remoto para conectar nesse servidor remoto...
Otra eu rodei o NMAP e ele me mostra que a porta 3389 nao esta aberta no linux ainda...
Grato pela ajuda ate o momento