Iptables - porta 3389 com status filtered [RESOLVIDO]

rodrigo.vizu
(usa Debian)

Enviado em 03/07/2011 - 11:54h

Bom dia Srs.
Meu primeiro post aqui desde quando comecei a trabalhar com linux. Recorri aqui pois não sei mas oque fazer, já procurei algumas dicas mas nenhuma funcionou.Vamos lá
Estou precisando liberar a porta 3389 ts que chega da interface externa para um IP interno, só que a ao scanear a porta com nmap o status da porta fica como filtered e não direciona para o pc interno.Tenho outro dois servidores que fazem isso, porém nos outros 2 estou usando a versão do iptables 1.4.2 e neste novo a versão é 1.4.8 com o Debian Squeeze. Basicamente estou usando a seguinte linha de comando para fazer a liberação.
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.117:3389
Desde já agradeço as respostas.

renato_pacheco
(usa Debian)

Enviado em 03/07/2011 - 23:57h

Depende muito d como vc tá inserindo essa regra e como estão as políticas d acesso do seu firewall. Tem como vc postar todas suas regras d iptables?

rodrigo.vizu
(usa Debian)

Enviado em 04/07/2011 - 07:17h

Bom dia Renato, obrigado pela atenção. Então minhas regras estão da seguinte maneira, como pode ver liberei todo o acesso, estou no começo da configuração e as únicas regras existentes são essas:
modprobe iptable_nat
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p udp --dport 3389 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.117:3389


Esse é o script como esta agora, estou tentando liberar de todos os jeitos como pode ver. Obrigado e um bom dia.

verdin
(usa Ubuntu)

Enviado em 04/07/2011 - 09:35h

Pelas suas suas regras você está direcionando para o próprio host que é o seu firewall
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p udp --dport 3389 -j ACCEPT

Se você está querendo redirecionar para a rede interna seria
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -j ACCEPT

rodrigo.vizu
(usa Debian)

Enviado em 04/07/2011 - 09:44h

Vou testar sua dica. Essas regras ai eu coloquei no desespero para ver se conseguia mudar o status da porta de filtered para open. Vou testar e postarei o resultado mas o estranho é que em outros dois servidores somente com a regra abaixo eu consigo liberar a porta e fazer o direcionamento:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.117:3389

Enfim vou testar e posto o resultado. Desde já agradeço.

rodrigo.vizu
(usa Debian)

Enviado em 04/07/2011 - 09:53h

Como imaginei, a porta continua com o status filtered e recusando conexões vindas da interface eth1 (internet) não repassando assim a conexão para eth0(local).No aguardo de novas dicas e obrigado.
3389/tcp filtered ms-term-serv

verdin
(usa Ubuntu)

Enviado em 04/07/2011 - 10:12h

Tenta isso

iptables -F
iptables -t mangle -F
iptables -t nat -F
iptables -X

iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.117:3389

e verificar se as conexões externas estão vindo mesmo com destino a porta 3389

rodrigo.vizu
(usa Debian)

Enviado em 04/07/2011 - 10:34h

Tentei meu caro porém não mudou em nada, quanto a porta, acredito que seja esta mesmo pois é a padrão to Terminal Service não é. Ficou assim o script


iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -t filter -X
iptables -t nat -F
iptables -X
iptables -t mangle -X
iptables -t nat -Z
iptables -t filter -Z
iptables -t mangle -Z
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.117:3389


Zerei todas as tabelas e coloquei as regras indicadas por você, mas nada continua a maldita porta filtered.

verdin
(usa Ubuntu)

Enviado em 04/07/2011 - 10:48h

Da uma olhada nesse link

http://www.vivaolinux.com.br/topico/Squid-Iptables/liberar-porta-3389-terminal-server-1

Ele resolveu o problema bem parecido com o seu.

rodrigo.vizu
(usa Debian)

Enviado em 04/07/2011 - 12:04h

Fiz oque resolveu para ele e continua não acessando. A porta continua 'filtered'

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -p tcp -I PREROUTING -s 0/0 -i eth1 --dport 3389 -j DNAT --to 192.168.1.117:3389
iptables -I FORWARD -p tcp --dport 3389 -j ACCEPT

rodrigo.vizu
(usa Debian)

Enviado em 05/07/2011 - 12:48h

Bom só para informa-los eu desinstalei a versão do iptables 1.4.8 e coloquei a 1.4.2(a mesma que esta nos outros dois servidores) porém não tive sucesso, a porta não muda o status para open, dai... pensei em voltar para a versão mais nova ou até mesmo atualizar para o release 1.4.11 mas..... não consigo ele não acha a opção de make uninstall e agora tenho dois problemas rsrs que azaaaar.

rodrigo.vizu
(usa Debian)

Enviado em 13/07/2011 - 10:17h

Bom... devido a urgência na conf. deste server parti para o extremo e reinstalei o sistema , deu certo consegui liberar a porta.
Valeu, Obrigado a todos.