Tentativa de acesso a site bloqueada quando vindo de fora do provedor

Vitorhugomb
(usa Debian)

Enviado em 19/09/2017 - 08:31h

Saudações amigos!
Sou gerente de t.i em um setor público de minha cidade, e estou com um problema na rede em que administro.
Tenho dois servidores um com o debian(que gere toda rede) e o outro com o windows server. No windows server há um portal da transparência rodando mas nele só há um ip privado, e no debian foi criado uma regra para direcionar toda solicitação da porta 80 do ip público do debian para a porta 80 do ip privado do windows server.
A questão é, que quem está fora da minha rede e fora do provedor que distribui o link para o servidor não consegue ter acesso ao site, sempre dá time out.
Alguem poderia me direcionar um troubleshooting para que eu consiga achar esse problema?

LSSilva
(usa Outra)

Enviado em 19/09/2017 - 08:41h

Pode ser que você não tenha um IP válido ou seu provedor não permita tráfego na porta 80 (externo). Para testar a primeira opção (não ter IP público) pode conferir no: www.meuip.com.br se o ip bate com o que seu debian pega (se não irá ter que procurar seu provedor para providenciar). Para testar a segunda opção tente fazer um direcionamento usando uma porta alta e transferindo para porta 80 do seu windows server.
onde era:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination "ip do debian":80
para:
iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination "ip do debian":80

Vitorhugomb
(usa Debian)

Enviado em 19/09/2017 - 09:34h

Obrigado pela resposta amigo!
Bem, o Ip é válido sim, e eu também faço outros redirecionamentos através dele para o windows server a exemplo da conexao remota da porta 3389 e funciona normal.
A regra atual é essa
# REGRA DNAT ENTRADA C/ DESTINO P/ IP 177.38.128.210
iptables -t nat -A PREROUTING -d 177.38.128.210 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.202

Seguindo seu conselho coloquei em uma porta alta e realmente funcionou
iptables -t nat -A PREROUTING -d 177.38.128.210 -p tcp --dport 8000 -j DNAT --to-destination 192.168.3.202:80
Isso significa que alguma coisa está bloqueando só essa porta 80?

LSSilva
(usa Outra)

Enviado em 19/09/2017 - 13:23h

Teoricamente sim.
Estranho! Hein? Não há nada antes do Debian? Nem um router? Se não, pode ser que haja, da parte do provedor, algo bloqueando algum tipo de tráfego nesta porta.

Vitorhugomb
(usa Debian)

Enviado em 29/09/2017 - 08:39h

Há um roteador sim porém, é apenas como gateway. Fui até o provedor indagar se nao havia nenhum bloqueio, e lá eles me mostraram que havia um filtro da faixa de ip que eles venderam pra nós que acesso liberado para várias portas, inclusive a 80, logo, acho que não é lá.
Teria algum comando especifico para que eu possa ver se o tráfego realmente chega até a porta 80?

Pensei na possibilidade de ser um conflito com algum outro serviço usando a porta 80, mas no iptables não há nenhuma regra assim.
Teste o comando iptables -t nat -nvL |grep 80
14 728 DNAT tcp -- * * 0.0.0.0/0 177.38.128.210 tcp dpt:80 to:192.168.3.202:80

14 728 MASQUERADE tcp -- * eth2.4043 192.168.0.0/16 192.168.3.202 tcp dpt:80

Minhas opções limitaram e eu não sei mais o que fazer

LSSilva
(usa Outra)

Enviado em 29/09/2017 - 08:59h

Posta seu script de firewall amigo.

Vitorhugomb
(usa Debian)

Enviado em 05/10/2017 - 09:44h

# DEFINE POLITICA PADRAO
iptables -P INPUT DROP
iptables -A INPUT -i eth2.4043 -j SET --add-set saida src
iptables -A OUTPUT -o eth2.4043 -j SET --add-set entrada dst
#Acept

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
## ICMP

# ECHO REPLY
iptables -A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
# DESTINATION UNREACHABLE
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -m limit --limit 1/sec -j ACCEPT
# ECHO REQUEST
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 10/sec -j ACCEPT
# TIME EXCEEDED
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -m limit --limit 1/sec -j ACCEPT
# LOCALHOST
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# SSH
#iptables -A INPUT -s 0.0.0.0/0 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp -m tcp --dport 2232 -j ACCEPT
# DNS
iptables -A INPUT -i eth2.4043 -d 192.168.3.51 -p udp -m udp --dport 53 -j ACCEPT
# DHCP RELAY
iptables -A INPUT -i eth2.4043 -s 192.168.0.0/16 -d 192.168.3.51 -p udp -m udp --dport 67 -j ACCEPT
# NTP
iptables -A INPUT -p udp -m udp --dport 123 -j ACCEPT
# SYSLOG
iptables -A INPUT -i eth2.4043 -s 192.168.4.0/24 -d 192.168.3.51 -p udp -m udp --dport 514 -j ACCEPT
iptables -A INPUT -i eth2.4043 -s 192.168.3.0/32 -d 192.168.3.51 -p udp -m udp --dport 514 -j ACCEPT
# RADIUS AUTENTICATION
iptables -A INPUT -i eth2.4043 -s 192.168.4.0/24 -d 192.168.3.51 -p udp -m udp --dport 1812 -j ACCEPT
iptables -A INPUT -i eth2.4043 -s 10.10.11.2/32 -d 192.168.3.51 -p udp -m udp --dport 1812 -j ACCEPT
iptables -A INPUT -i eth2.4043 -s 10.10.12.2/32 -d 192.168.3.51 -p udp -m udp --dport 1812 -j ACCEPT
# HTTP 8082
#iptables -A INPUT -p tcp -m tcp --dport 8090 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT
# HTTPS
#iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# TRAPS
iptables -A INPUT -i eth2.4043 -s 192.168.4.0/24 -p udp -m udp --dport 162 -j ACCEPT
iptables -A INPUT -i eth2.4043 -s 192.168.5.0/24 -p udp -m udp --dport 162 -j ACCEPT
#ZABBIX
iptables -A INPUT -i eth2.4043 -s 192.168.3.202/32 -d 192.168.3.51 -p tcp -m tcp --dport 10050 -j ACCEPT
iptables -A INPUT -i eth2.4043 -s 192.168.3.202/32 -d 192.168.3.51 -p tcp -m tcp --dport 10051 -j ACCEPT

# TRACEROUTE SWITCHS
iptables -A INPUT -i eth2.4043 -p udp -s 192.168.3.0/24 --match multiport --dports 33440:33500 -j ACCEPT

# LIBERA O QUE FOR REALIZADO O 3H
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

## FORWARD

# DEFINE POLITICA PADRAO
iptables -P FORWARD DROP

# CHAIN FORWARD – COLOCAR LOGO ABAIXO DO DROP DA FORWARD
iptables -A FORWARD -o eth2.4043 -j SET --add-set entrada dst
iptables -A FORWARD -i eth2.4043 -j SET --add-set saida src

iptables -A FORWARD -m set --match-set entrada dst
iptables -A FORWARD -m set --match-set saida src

# EQUIPAMENTO INTERMEDIARIO DE TRAFEGO - FORWARD ABERTO
iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT


# LIBERA O TRÁFEGO PASSANTE VINDO DA ETH2.4043
#iptables -A FORWARD -i eth2.4043 -j ACCEPT
# ICMP
#iptables -A FORWARD -p icmp -j ACCEPT
# LIBERA O QUE FOR REALIZADO O 3H
#iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

### NAT
# SERVIÇOS NO WINDOWS SERVER 2008

iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5622 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5630 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5631 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5632 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5633 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5634 -j DNAT --to-destination 192.168.3.202
iptables -t nat -A PREROUTING -i eth0.4042 -p tcp -m tcp --dport 5635 -j DNAT --to-destination 192.168.3.202
# REGRA DNAT ENTRADA C/ DESTINO P/ IP 177.38.128.210
iptables -t nat -A PREROUTING -d 177.38.128.210 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.202:80

# REGRA SNAT P/ WINDOWS SERVER
iptables -t nat -A POSTROUTING -o eth2.4043 -s 192.168.0.0/16 -d 192.168.3.202 -p tcp --dport 80 -j MASQUERADE

# iptables -A FORWARD -p udp --dport 8081 -j ACCEPT

#iptables -A INPUT -i eth2.4043 -p tcp --dport 21 -j ACCEPT
## POSTROUTING
# NAT COM MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0.4042 -j MASQUERAD
# NAT INTERFACE VPN - CODATA
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

LSSilva
(usa Outra)

Enviado em 07/10/2017 - 14:30h

Defina a interface WAN e substitua:
"iptables -t nat -A PREROUTING -d 177.38.128.210 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.202:80" por
"iptables -t nat -A PREROUTING -i $WAN_INTERFACE -p tcp --dport 80 -j DNAT --to-destination 192.168.3.202:80"

Defina também sua interface Lan e substitua:
" iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT" por
" iptables -A INPUT -i $LAN -s $LAN_SOURCE_ADDRESS_RANGE -p tcp --dport 80 -m state --state NEW --syn -j ACCEPT"

Adicione também:
"iptables -A FORWARD -i $WAN -p tcp --dport 80 -d 192.168.3.202 -m state --state NEW --syn -j ACCEPT"

Na sua chain FORWARD, pois usa DROP como política padrão.

Lembrando (talvez desnecessariamente) que terá que criar as variáveis se quiser manter os nomes que utilizei e iniciá-las com os valores corretos (de endereços e interfaces) para que funcione. Ou crie suas próprias e modifique.