Acesso Remoto

emerson2703
(usa CentOS)

Enviado em 09/09/2011 - 15:51h

Amigos, tenho uma duvida antiga que não conseguir resolver, tenho um firewall na Matriz A e tenho um firewall na filial B.

Matriz A

Rede: 172.16.7.0
Firewall: 172.16.7.200
Router: 172.16.7.254

obs: No firewall Tem as routa para as filiais

Filial B

Rede: 172.16.11.0
Firewall: 172.16.11.200
Router: 172.16.11.254

Obs: No Firewall Tem a routa para matriz

Problema: pingo normalmente para os servidores da matriz quando estou na filial ou vice-versa, mas não consigo acessar remotamente, mesmo liberando as portas do acesso remoto no input, output e forward nos dois firewall, so consigo acessar remoto se utilizar a rota diretamente nos host no qual quero ter acesso: Exemplo: Estou em um host na filial tentando acessar um servidor se meu gw estiver o fireall não acesso se estiver o gw do roteadorconsigo acessar, deve ser alguma regra no iptables, alguem poderia ajudar com esta questão.

n4t4n
(usa Arch Linux)

Enviado em 14/09/2011 - 16:30h

Você tem que notar que a regra de input para seus servidores deve vir antes de alguma que bloqueia o acesso, sempre deixando a ordem de regras das mais específica para a mais geral.

A exemplo da porta do ssh vamos ver como ficaria a regra no seu firewall da Matriz A

IF_NET=eth0
IP_NET=172.16.7.200/24
IF_LOCAL=eth1
IP_LOCAL=192.168.1.200/24

iptables -A INPUT -i $IF_NET -d $IP_NET -p tcp --dport 22 -j ACCEPT

Você só precisa colocar na chain FORWARD caso isso vá atravessar o firewall e acessar alguma máquina da rede local.

Só uma coisa que observei. Sua rede local tem o mesmo endereçamento do firewall? deveria ter outro não?
O firewall é um muro de proteção da internet. Se o firewall tiver um endereço da rede, sendo apenas uma máquina a mais na rede, você (sua rede local) está do mesmo lado do muro da internet e portanto está exposto, o que deveria ser o contrário, a internet de um lado, você do outro, sendo separados pelo firewall. Nessa configuração sua rede local tem um endereçamento diferente do que ele recebe na interface externa (internet).

emerson2703
(usa CentOS)

Enviado em 14/09/2011 - 16:46h

colega na verdade não utilizo a mesma faixa da rede externa, quando citei meu roteador ele é um mpls que fecha a conexão entre as unidades, e ele não me fornece link de internet, tenho outro roteador me fornecendo link de internet em outra faixa e em outro barramento:

Firewall Matriz:
eth0: 172.16.4.200 (rede local)
eth1: 189.xxx.xxx.xxx (rede externa)

Router Mpls (172.16.5.254)

Firewall Filial:
eth0: 172.16.8.200 (rede local)
eth1: 201.xxx.xxx.xxx (rede externa)

Router Mpls (172.16.9.254)

Eu não se da para entender o esquema acima, se estiver alguma observação a fazer, fico grato.

removido
(usa Nenhuma)

Enviado em 14/09/2011 - 18:38h

Amigo para poder da uma assistência preciso entender primeiro.

Só que não entendi qual é o problema real, é acesso remoto ao servidor ou a um host da rede?

Explica melhor o que está acontecendo, pode ser?


aguardo sua resposta...

emerson2703
(usa CentOS)

Enviado em 15/09/2011 - 13:49h

Colega, quero acessar os servidores internos de outra unidades (filial), tenho um firewall de borda na filial e na matriz, a rede esta fechada pela serviço de mpls, eu pingo normalmente para os servidores mas não consigo acessar remoto, quando coloco o gateway do router mpls acesso normalmente, quando passo o gateway pelo firewall não acesso.

n4t4n
(usa Arch Linux)

Enviado em 22/09/2011 - 11:27h

Deixa ver se eu entendi o problema.

1 - Você consegue pingar os Firewalls das duas unidades, porém não consegue acessá-los.

2 - Os servidores que você quer acessar estão por trás dos Firewall's, que você consegue pingar mas não consegue acessar


Vamos refletir

No caso 1, se você consegue acessar não é problema de rota e sim de permissão de acesso. Nas regras dos Firewall's você deve configurar as regras nas chains INPUT e OUTPUT para permitir o acesso, observando se esse acesso já não está sendo proibido antes da regra que você libera.

No caso 2 os servidores estão por trás do firewall, ou seja, todo seu acesso à eles está passando pelo firewall, porém somente o ping está liberado, sendo que o acesso está sendo negado na porta do serviço pretendido.
Para resolver essa questão você precisaria fazer DNAT e redirecionar todo tráfego entrante na porta 22 (como exemplo) para o servidor da rede que você quer acessar. Além disso você precisa liberar o tráfego na chain FORWARD para permitir esse acesso.

Se não entendi ainda me desculpe, tente desenhar um pequeno diagrama para melhor entendimento e posta o link pra galera entender ok?