habilitar acesso da internet para intranet

1. habilitar acesso da internet para intranet

denis
coleta

(usa Ubuntu)

Enviado em 31/01/2018 - 20:06h

Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço


  


2. Re: habilitar acesso da internet para intranet

Leandro Silva
LSSilva

(usa Outra)

Enviado em 31/01/2018 - 20:48h

coleta escreveu:

Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço


Depende de como está configurado este modem seu. Ele está em bridge e o Linux está discando conexão? Se não, terá que fazer um DMZ para o IP do servidor Linux, ou então direcionar todas as portas que quer usar externamente, para o mesmo (Isso no modem para o server linux). Esse detalhe pode impedir algumas portas de funcionarem. Outra coisa é o WISP (operadora) bloquear algumas portas, isso também pode ocorrer. Outra questão tem a ver com a sua configuração de firewall, está usando qual política? DROP? Se sim, tem que cuidar das regras em NAT->PREROUTING/POSTROUTING e em FILTER->FORWARD. Com relação às regras de direcionamento de portas, seria interessante fazer dessa forma:

##Case 1
#Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
#Vai
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56090 -j DNAT --to-dest 192.168.1.200:22
#Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
#Volta
iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1

##Case 2
#Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
#Vai
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56091 -j DNAT --to-dest 192.168.1.201:22
#Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
#Volta
iptables -t nat -A POSTROUTING -d 192.168.1.201 -j SNAT --to 192.168.1.1

Ps.: Nunca deixa de especificar sua interface de internet no forwarding de portas.

E assim sucessivamente. Direcionamento de portas é feito em duas vias, apesar de, em uma, funcionar na maioria dos casos.




3. Re: habilitar acesso da internet para intranet

denis
coleta

(usa Ubuntu)

Enviado em 31/01/2018 - 21:20h

LSSilva escreveu:

coleta escreveu:

Estou com o seguinte problema: quero habilitar o acesso externo ( da internet) par alguns computadore da rede interna, porem estou com um problema estranho: alguns computadores eu consigo acessar de fora outros não.
Estou usando o iptables para fazer isso com este comando: iptables -t nat -A PREROUTING -d "ip exteno" -p tcp --dport 56090 -j DNAT --to 192.168.1.200:22
Ja limpei as regras do iptables e executei este comando: com algumas maquinas vai outras não, aparece filtred, nao tem resposta, ja olhei as portas do switch (nao gerenciavel).
Segue a topologia da rede: <modem> --> <pc /roteador linux com iptables> --> <switch nao gerenciavel> --> <todos os pcs da rede> (nao há roteadores e nem switch intermediando fora estes que mostei.
Com certeza eu estou esquecendo de verificar algo mas não sei o que pode ser, se alguem puder me dar um ideia do que falta testar ou fazer eu agradeço


Depende de como está configurado este modem seu. Ele está em bridge e o Linux está discando conexão? Se não, terá que fazer um DMZ para o IP do servidor Linux, ou então direcionar todas as portas que quer usar externamente, para o mesmo (Isso no modem para o server linux). Esse detalhe pode impedir algumas portas de funcionarem. Outra coisa é o WISP (operadora) bloquear algumas portas, isso também pode ocorrer. Outra questão tem a ver com a sua configuração de firewall, está usando qual política? DROP? Se sim, tem que cuidar das regras em NAT->PREROUTING/POSTROUTING e em FILTER->FORWARD. Com relação às regras de direcionamento de portas, seria interessante fazer dessa forma:

##Case 1
#Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
#Vai
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56090 -j DNAT --to-dest 192.168.1.200:22
#Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
#Volta
iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1

##Case 2
#Se sua interface de internet (onde liga o modem) for, por exemplo, eth1:
#Vai
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 56091 -j DNAT --to-dest 192.168.1.201:22
#Vamos supor que o gateway da rede (firewall linux) tem ip 192.168.1.1, por exemplo.
#Volta
iptables -t nat -A POSTROUTING -d 192.168.1.201 -j SNAT --to 192.168.1.1

Ps.: Nunca deixa de especificar sua interface de internet no forwarding de portas.

E assim sucessivamente. Direcionamento de portas é feito em duas vias, apesar de, em uma, funcionar na maioria dos casos.



Obrigado ssilva pelo retorno.

meu modem é um ponte, nao é roteado, o ip da internet esta na interface do pc com linux, a regra padrao do iptables esta como accept em todas as tabelas, fiz ate o seguinte teste:
iptables -F
iptables -F -t filter
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t filter
iptables -X -t nat
iptables -X -t mangle
iptables -Z
iptables -Z -t filter
iptables -Z -t nat
iptables -Z -t mangle

limpei todas as regras, e por padrao fica tudo como accept, entao eu executei:

iptables -t nat -A PREROUTING -d <ip-da-internet> -p tcp --dport 54666 -j DNAT --to 192.168.1.200:22
iptables -t nat -A PREROUTING -d <ip-da-internet>-p tcp --dport 54669 -j DNAT --to 192.168.1.119:22
redirecionei para 2 pc da rede interna
executei nmap nos 2 da minha casa em direçao ao escritorio e da open somente no 192.168.1.200
eu testei de outro pc se o serviço ssh esta aberto no 192.168.1.119 e esta ok

Estranho que eu nao uso esta regra de volta "iptables -t nat -A POSTROUTING -d 192.168.1.200 -j SNAT --to 192.168.1.1
", tanto que faço acesso a camera e ao sistema que usa conexao ssh.
Mas mesmo assim vou colocar agora esta regra e fazer um teste.




4. Re: habilitar acesso da internet para intranet

denis
coleta

(usa Ubuntu)

Enviado em 31/01/2018 - 21:50h

Sem sucesso,
habilitei com o iptales o log para ver se a algum pacote chegando , uma tentativa de coenxao e nao chega nada. Tavez o sistema esteja corrompido. Ele desligou umas 4 vezes a semana passada por conta de queda de energia e queda no nobreak.meio que desanima mas vou colocar um outro pc om iptables na frente deste e fazer os redirecionamentos e ver se funciona com todos a rede e nao somente alguns ips.
Aindo posto o resultado e obrigado pelo retorno novamente.


5. Re: habilitar acesso da internet para intranet

Leandro Silva
LSSilva

(usa Outra)

Enviado em 31/01/2018 - 23:35h

coleta escreveu:

Sem sucesso,
habilitei com o iptales o log para ver se a algum pacote chegando , uma tentativa de coenxao e nao chega nada. Tavez o sistema esteja corrompido. Ele desligou umas 4 vezes a semana passada por conta de queda de energia e queda no nobreak.meio que desanima mas vou colocar um outro pc om iptables na frente deste e fazer os redirecionamentos e ver se funciona com todos a rede e nao somente alguns ips.
Aindo posto o resultado e obrigado pelo retorno novamente.


Não faça isso, só vai complicar a situação.

Faça o seguinte: Nessa regra sua, está usando opção de destino, tente usar interface WAN.
Ex:
Ao invés de:
iptables -t nat -A PREROUTING -d $IP -p tcp --dport xxxxx -j DNAT --to-dest 192.168.1.199:22
Use:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport xxxxx -j DNAT --to-dest 192.168.1.199:22

Confirma pra gente se a ppp0 é sua interface de internet.

Poste também a saída do comando "iptables -nL", antes de fazer qualquer coisa.


6. Re: habilitar acesso da internet para intranet

denis
coleta

(usa Ubuntu)

Enviado em 01/02/2018 - 10:53h

executando o teste:
iptables -F
iptables -F -t filter
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t filter
iptables -X -t nat
iptables -X -t mangle
iptables -Z
iptables -Z -t filter
iptables -Z -t nat
iptables -Z -t mangle
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT


iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 54666 -j DNAT --to 192.168.1.200:22 #computador sistema estoque
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to 192.168.1.182:22 #meu computador
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.202 #camera

#comando: iptables -L -n -t filter
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

#comando:iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:54666 to:192.168.1.200:22
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.1.182:22
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.202

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

#agora conectei um notebook em outro link que temos da net virtua com o nmap
#nmap <ip-externo > -p 54666
54666/tcp open unknown
#nmap <ip-externo > -p 80
80/tcp filtered unknown

Sera o switch, posso testar com um pc apenas ou trocar o swich




7. Re: habilitar acesso da internet para intranet

Leandro Silva
LSSilva

(usa Outra)

Enviado em 01/02/2018 - 12:01h

O apache (ou outro server http) está rodando no host 192.168.1.202? Se sim, há grande chance de a porta 80 estar sendo bloqueada pela operadora (a maioria bloqueia), tente usar uma porta alta para testar.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts