3g + compartilhamento + ssh [RESOLVIDO]

flaviodm
(usa OpenBSD)

Enviado em 30/06/2009 - 02:18h

Meu cenario é o seguinte em meu servidor:
eth0 - rede interna com ip 10.1.1.1 com squid rodando
ppp0 - conexao 3g com modem d301

utilizo o servidor para compartilhar internet com os demais computadores da rede interna. O problema é quando tento acessar ele externamente por ssh ou mesmo o apache. Dentro da rede interna ele acessa estes 2 servicos. Gostaria de saber se poderia ser alguma coisa no iptables.
ja tentei de tudo mais nao consigo acesso externo.

meu iptables esta assim:

iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
mas apos isto eu ja tentei todos estas possiveis regras para liberar o ssh externo:
iptables -A INPUT -i ! ppp0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 0.0.0.0 -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED --dport 22 -j ACCEPT
iptables -N ppp-input
iptables -A ppp-input -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

mas nada funcionou.
a tabela de roteamento do servidor esta assim:

Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
10.1.1.0 * 255.255.255.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0

Se alguem puder me dar alguma luz....

Grato

gesousa
(usa Ubuntu)

Enviado em 30/06/2009 - 02:55h

o problema é se não me engano , o serviço 3g utiliza de ip invalido, vc pode perceber isso pelo uso da faixa de ip do próprio modem, 10.64.64.64 esta classe é utilizada só em redes internas, não sendo válidas para identificação na internet.

Entenda como ip invalido, todo ip de uma rede interna que utiliza um gateway com ip valido para se comunicar com a internet...

Assim qualquer conexão tentada de fora para conectar a estes serviços é negado... A menos que seja resposta a uma conexão gerada primeiramente do ip desta rede interna...

Assim vc deve utilizar o serviço de conexão reversa do servidor ssh, ou seja em vez de vc fazer o pedido de conexão ao seu servidor, será o Servidor que tentará se conectar ao seu computador...

Aqui vai um artigo de como fazer isto...

http://www.vivaolinux.com.br/artigo/Acessando-computadores-remotos-protegidos-por-NAT-ou-firewall-co...

No caso do apache... acho difícil... a menos que consiga fazer o seu serviço 3g fazer um redirionamento na maquina dele de uma porta pra seu ip interno ... hehehe

outro detalhe é antes verificar se a porta 22 não esta bloqueada... muitos serviços travam as portas mais comuns de serviços como ssh, apache, email server...

flaviodm
(usa OpenBSD)

Enviado em 01/07/2009 - 08:07h

Realmente eu nao tinha dado atenção ao meu ip. A claro utiliza uma faixa de ips invalido. Somente seu dns é valido.

Muito obrigado. O jeito realmente será criar uma conexão reversa.

Obrigado

flaviodm
(usa OpenBSD)

Enviado em 17/08/2009 - 12:12h

Bom apesar de muito tempo depois vou postar a soluçao do meu problema, pois acho que muitos podem ter tido o mesmo problema.

A claro bloqueia as portas mais comuns, ou seja, 22, 23, 80, 8080....
a soluçao eh usar portas mais altas como por exempo 2222 para o ssh e 8008 para o apache.

=)

flaviodm
(usa OpenBSD)

Enviado em 20/09/2010 - 12:39h

amigo,
O problema não é regra de firewall. Você pode até desabilitar o firewall que não acessará do mesmo jeito. Você precisa configurar seu aplicativo para utilizar portas mais altas como por exemplo a 2222 para o ssh. Neste caso a configuração é feita no /etc/sshd.conf para o caso do ssh ou /etc/apache2/httpd.conf para o apache.

Espero ter ajudado.