Acesso Remoto usando Proxy [RESOLVIDO]

ronaldolemos
(usa Debian)

Enviado em 22/08/2013 - 18:42h

Olá pessoal, estou com um problema para acessar outro computador via Acesso Remoto no Windows.
Tenho um servidor Linux que serve internet para a rede: 10.50.28.8 , só que eu estou tentando me conectar no IP "coruja.no-ip.info" via máquina por ex: 10.50.28.63 "essa máquina faz parte da rede do proxy", porém, no computador que tá na rede "livre" 192.168.1.1 consegue se conectar com o servidor remoto. E mesmo que liberando a máquina no Squid e no SquidGuard para passar por fora do proxy ela não consegue o acesso. Alguém poderia me dar uma luz?

Squid
=========================================================================================
http_port 3128
visible_hostname FapeProxyDebian

access_log /var/log/squid/access.log

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 8443 563 3333 3339
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 8443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT


# IPs liberados
acl ip_liberado src "/etc/squid/ip_liberado"
http_access allow ip_liberado

# MACs liberados
#acl mac_liberado arp "/etc/squid/mac_liberado"
#http_access allow mac_liberado

# Sites Bloqueados
acl bloqueados_1 url_regex -i "/etc/squid/bloqueados_1"
http_access deny bloqueados_1

# Palavras Proibidas
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# SquidGuard config
redirect_program /usr/bin/squidGuard
redirect_children 10
redirector_bypass on


# Rede Internet
acl redelocal3 src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal3

# Rede Administraviva
acl redelocal2 src 10.50.28.0/22
http_access allow localhost
http_access allow redelocal2

# Rede dos Alunos
acl redelocal src 10.0.0.0/24
http_access allow localhost
http_access allow redelocal

# Rede Cisco Lyceum
acl redelocal4 src 172.16.0.0/255.255.252.0
http_access allow localhost
http_access allow redelocal4

http_access deny all
=======================================================================================

IPTABLES

#Limpa regras
iptables -F
iptables -X -t filter
iptables -X -t nat
iptables -F -t filter
iptables -F -t nat

/etc/init.d/fail2ban stop
/etc/init.d/ntop start

# Politica padrao
iptables -P FORWARD DROP


/etc/init.d/fail2ban start


# Compartilha a conexao com a rede interna
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Redirecionamento para o Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128


#Bloqueio Ultrasurf
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "

# Regras FORWARD
iptables -A FORWARD -m multiport -p udp --dport 1:1025 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 1:1025 -j ACCEPT
iptables -A FORWARD -p udp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7001 -j ACCEPT
iptables -A FORWARD -p udp --dport 7001 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 3333:3339 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5061 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1503 -j ACCEPT
iptables -A FORWARD -p udp --dport 8443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8443 -j ACCEPT

# Apagar log na inicializacao
rm -f /var/log/exim4/paniclog

# Porta NTOP
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3000 -j ACCEPT
======================================================================================

desde já grato

souzacarlos
(usa Outra)

Enviado em 22/08/2013 - 20:13h

Boa noite, questionamentos:
Favor informar redes pertencentes destes IPs

vc disse que tua POLICE FORWARD é DROP, não entendi muito bem tua dúvida, mas já verificou a porta que o RDP precisa para conectar?

Favor relatar melhor tua estrutura.

Aguardo,

ronaldolemos
(usa Debian)

Enviado em 22/08/2013 - 20:22h

É mais ou menos assim, o servidor proxy tem a rede 192.168.1.0/24 (Internet que entra no servidor)
10.0.0.1/24 (rede 1)
10.50.28.0/22 (rede 2)

os computadores da rede 1 e 2 passam pelo Squid/Iptables, por ex: Eu estou nesse momento numa máquina da rede 2 com IP 10.50.28.63 e estou tentando acessar via acesso remoto o ip "coruja.no-ip.info" só que só funciona se eu deixar todas as politicas ACCEPT. Quando eu vou no servidor e digito: "rdesktop coruja.no-ip.info" abre normalmente a tela para login no servidor que está em outro estado, porém quando eu abro pela máquina que está passando pelo proxy não consigo acessar a conexão de área de trabalho remota do Windows Server.

andrecanhadas
(usa Debian)

Enviado em 22/08/2013 - 21:58h

Exclui a ultima não tinha visto o firewall no final:
definiu a politica padrão como drop e não liberou o FORWARD para a porta 3389 tente assim:

IPTABLES



#Limpa regras

iptables -F

iptables -X -t filter

iptables -X -t nat

iptables -F -t filter

iptables -F -t nat



/etc/init.d/fail2ban stop

/etc/init.d/ntop start



# Politica padrao

iptables -P FORWARD DROP





/etc/init.d/fail2ban start





# Compartilha a conexao com a rede interna

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE





# Redirecionamento para o Squid

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128





#Bloqueio Ultrasurf

iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf= "



# Regras FORWARD

iptables -A FORWARD -m multiport -p udp --dport 1:1025 -j ACCEPT

iptables -A FORWARD -m multiport -p tcp --dport 1:1025 -j ACCEPT

iptables -A FORWARD -p udp --dport 1863 -j ACCEPT

iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

iptables -A FORWARD -p tcp --dport 7001 -j ACCEPT

iptables -A FORWARD -p udp --dport 7001 -j ACCEPT

iptables -A FORWARD -m multiport -p tcp --dport 6891:6900 -j ACCEPT

iptables -A FORWARD -m multiport -p tcp --dport 3333:3339 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5061 -j ACCEPT

iptables -A FORWARD -p tcp --dport 1503 -j ACCEPT

iptables -A FORWARD -p udp --dport 8443 -j ACCEPT

iptables -A FORWARD -p tcp --dport 8443 -j ACCEPT

iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT



# Apagar log na inicializacao

rm -f /var/log/exim4/paniclog



# Porta NTOP

iptables -A INPUT -p tcp --dport 3000 -j ACCEPT

iptables -A FORWARD -p tcp --dport 3000 -j ACCEPT

 

Note que adicionei a porta 3389 nas regras de forward se for liberar apenas para o no-ip informado troque a linha que adicionei por:

iptables -A FORWARD -p tcp  -d seu-no-ip.org --dport 3389 -j ACCEPT

 

ronaldolemos
(usa Debian)

Enviado em 26/08/2013 - 15:05h

Obrigado pela ajuda galera, vlw!