Liberação Terminal Service

1. Liberação Terminal Service

jefsni
(usa Debian)

Enviado em 17/08/2018 - 17:13h

Boa tarde, tenho um servidor Debian 7 com porxy, iptables, e não consigo liberar Terminal Service externamente?

1- Cabo Modem ligado na eth0 IP 192.168.0.250

2- Modem Net Pace C6500 com DMZ para o IP 192.168.2.250 do servidor proxy/firewall na eth1

3- #/etc/init.d/rc.firewall
# Variaveis
IPT='/sbin/iptables' #caminho para executavel do Iptables
WAN="eth0" #internet (onboard)
WAN0="192.168.0.250"
LAN="eth1" #redelocal (offboard)
LAN0='192.168.2.250' # IP eth1
LAN1='192.168.2.0/24' # Rede Local
TS='192.168.2.200' # IP WS2016
DVR='192.168.2.150' # IP DVR
PORTASUDP="53"
PORTASTCP="21,25,53,80,110,143,443,587,993,995"
PORTASTCP1="22,3128,3389,33899,3322"
PORTASDVR="8000,8001,554"

# Limpar regras antigas
$IPT --flush
$IPT --delete-chain
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -X -t nat
$IPT -F -t mangle
$IPT -X -t mangle

# Carregar os modulos do kernel para funcionamento do firewall
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe iptable_nat

# PoliticAs Padrao
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# Ativa o sistema roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

# Ativa o mascararamento (nat com a internet)
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# Ida e volta acesso nas chains INPUT, OUTPUT e FORWARD
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Redireciona internet para o Proxy
$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -p udp --dport 80 -j REDIRECT --to-port 3128

# Liberar trafego loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Liberar DNS
$IPT -A INPUT -m multiport -p udp --dports $PORTASUDP -j ACCEPT
$IPT -A FORWARD -m multiport -p udp --dports $PORTASUDP -j ACCEPT

# Liberar Portas TCP
$IPT -A INPUT -p tcp -m multiport --dports $PORTASDVR -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports $PORTASTCP -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports $PORTASTCP1 -j ACCEPT
$IPT -A FORWARD -p tcp -m multiport --dports $PORTASDVR -j ACCEPT
$IPT -A FORWARD -p tcp -m multiport --dports $PORTASTCP -j ACCEPT
$IPT -A FORWARD -p tcp -m multiport --dports $PORTASTCP1 -j ACCEPT

# NAT redirecionamento de portas
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 3389 -j DNAT --to-destination $TS:3389
$IPT -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 3322 -j DNAT --to-destination $LAN0:3322
$IPT -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 8001 -j DNAT --to-destination $DVR:8001
$IPT -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 8000 -j DNAT --to-destination $DVR:8000
$IPT -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 554 -j DNAT --to-destination $DVR:554

0 0

Quote

2. Re: Liberação Terminal Service

LSSilva
(usa Outra)

Enviado em 17/08/2018 - 22:07h

Boa noite!
Este script abaixo faz exatamente a mesma coisa que o seu fazia. Se decidir alterar a política para DROP, aí são outros 500. Porém da forma que está, dá na mesma.



3- #/etc/init.d/rc.firewall

# Variaveis

#internet (onboard)

WAN="eth0" 

WAN0="192.168.0.250"

#redelocal (offboard)

LAN="eth1" 

# IP eth1

LAN0="192.168.2.250" 

# Rede Local

LAN1="192.168.2.0/24"

# IP WS2016 

TS="192.168.2.200" 

# IP DVR

DVR="192.168.2.150" 



# Limpar regras antigas

iptables -F

iptables -X

iptables -F -t nat

iptables -X -t nat

iptables -F -t mangle

iptables -X -t mangle



# Carregar os modulos do kernel para funcionamento do firewall

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe ipt_LOG

modprobe ipt_REJECT

modprobe ipt_MASQUERADE

modprobe iptable_nat



# Ativa o sistema roteamento de pacotes

echo 1 > /proc/sys/net/ipv4/ip_forward



# Ativa o mascararamento (nat com a internet)

iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE



# Redireciona internet para o Proxy 

iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128



# NAT redirecionamento de portas

iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 3389 -j DNAT --to-destination $TS

iptables -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 3322 -j DNAT --to-destination $LAN0

iptables -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 8001 -j DNAT --to-destination $DVR

iptables -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 8000 -j DNAT --to-destination $DVR

iptables -t nat -A PREROUTING -i $WAN -p tcp -m tcp --dport 554 -j DNAT --to-destination $DVR

Agora, não entendi o que disse:

1- Cabo Modem ligado na eth0 IP 192.168.0.250

2- Modem Net Pace C6500 com DMZ para o IP 192.168.2.250 do servidor proxy/firewall na eth1

Como assim? Tem duas internet's nas duas interfaces do server e nenhuma de rede local? E esse DMZ aí no Net Pace? Estranho isso! Pois no script você trata 192.168.2.0/24/eth1 como "localnet". Seria o inverso então? Como é exatamente a topologia aí?

Se a rede 192.168.2.0/24 for local, era pra funcionar. Porém teria que ter DMZ no gateway da rede 192.168.0.0/24 apontando para IP 192.168.0.250 (que é do servidor). Caso contrário, terá que alterar as variáveis do script.

0 0

Quote

3. Re: Liberação Terminal Service

jefsni
(usa Debian)

Enviado em 18/08/2018 - 09:03h

Talves esteja confuso

Etho = Internet ligado no modem com ip 192.168.0.250 (Este ip esta no DMZ modem)
Eth1 = Rede Interna com ip 192.168.2.250

# Variaveis
IPT='/sbin/iptables' #caminho para executavel do Iptables
WAN="eth0" #internet (onboard)
WAN0="192.168.0.250"
LAN="eth1" #redelocal (offboard)
LAN0='192.168.2.250' # IP eth1
LAN1='192.168.2.0/24' # Rede da Internet ###Alterei essa linha, por isso ficou confuso tinha colocado "rede local"###
TS='192.168.2.200' # IP WS2016

# NAT redirecionamento de portas
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 3389 -j DNAT --to-destination $TS:3389
$IPT -t nat -A POSTROUTING -d $TS -j SNAT --to-destination $WAN0 # Essa linha faltava para funcionar o redirecionamento.

Muito Obrigado pelo script, mas ontem a noite lendo mais alguns livros, achei a solução.
Obrigado.

0 0

Quote

4. Re: Liberação Terminal Service

LSSilva
(usa Outra)

Enviado em 18/08/2018 - 15:43h

E não vai compartilhar essa solução? Por que usou o fórum então? Qual a sua ideologia? Cara, tá tudo muito confuso... Qual é a "onda"? Deve ser por esse tipo de conduta que as coisas aqui estão esfriando. Não sei se a galera reparou, mais de um ano pra cá caiu de mais(não sou hipócrita e me incluo nisso), mais tá de mais!

0 0

Quote

5. obrigado

jefsni
(usa Debian)

Enviado em 18/08/2018 - 19:54h

Ja compartilhei a solução
acrescentando essa linha consegui fazer o acesso externo

$IPT -t nat -A POSTROUTING -d $TS -j SNAT --to-destination $WAN0 # Essa linha faltava para funcionar o redirecionamento.

0 0

Quote