Liberar acesso de portas

frodopuc
(usa Ubuntu)

Enviado em 06/04/2015 - 08:51h

Olá pessoal,

Estou na seguinte situação: Entrei numa empresa nova onde já existia um firewall ativo (dentro dessa micro empresa tudo é liberado para acesso externo, não há restrições).
Pessoal quer instalar uma rede de telefonia interna (já tem um responsavel pela parte de telefonia).
Ele disse que a empresa de telefonia pede para liberar as portas 5060 a 5070 para TCP e UDP e as portas 8766 ate 35000 UDP.
Faz tempo que nao trabalho com iptables, revisei um pouco sobre e montei esses comandos:

iptables -A INPUT -m multiport -p tcp --dport 5060:5070 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dport 5060:5070 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dport 8766:35000 -j ACCEPT

Estaria correto dessa forma? vi que tem sport para source e dport para destino, mas nao consegui entender o sentido das portas que devem ser abertas.

Pedido do responsável foi:
"você deverá fazer uma configuração de NAT do nosso IP válido para o IP de sua central. As portas utilizadas serão a 5060 até a 5070 TCP/UDP para sinalização SIP e portas UDP 8766 até 35000 - audio RTP. "

Vlw a força pessoal

marcoahubert
(usa Debian)

Enviado em 06/04/2015 - 18:29h

Se for internamente sim, está correto. Mas pode tentar os abaixo:

iptables -A FORWARD -p tcp -m multiport --dport $PORTAS -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport $PORTAS -j ACCEPT

se precisar fazer nat:

iptables -t nat -A PREROUTING -i eth3(que vai para o modem) -p tcp --dport 80(exemplo) -j DNAT --to-dest 192.168.x.y (ip do equipamento)
iptables -A FORWARD -p tcp -i eth3 --dport 80 -d 192.168.x.y -j ACCEPT

frodopuc
(usa Ubuntu)

Enviado em 16/04/2015 - 09:00h

Marcos, Muito obrigado pela resposta...
estou me matando para entender esses paramentos do iptables, parecem ser tão faceis na teoria, mas na pratica acabo sempre me perdendo....

Acabo de me encontrar em outra situação similar... e mal testei essa ainda.
O nat eu faço somente se eu quiser entrar pelo servidor com IP externo e apontar para outro servidor servidor interno?
exemplo: tenho um servidor firewall (com o meu ip externo fixo) e tenho um segundo servidor interno com outro processo.
Quero apontar meu ip fixo externo e uma porta externa para esse servidor interno... Uso NAT? isso?

Se eu somente quiser liberar algumas portas do meu servidor firewall (ip fixo) eu faço somente iptables -A INPUT -p protocolo... etc
isso?

marcoahubert
(usa Debian)

Enviado em 20/04/2015 - 18:35h

Boa noite,

Segue o exemplo de NAT:

Seu ip ext 200.200.200.201
servidor interno 192.168.1.254
a ETH3 e um exemplo coloque a que estiver diretamente no modem, outra coisa lembre de fazer uma DMZ do modem para o firewall ou liberar as portas no modem também.

iptables -t nat -A PREROUTING -i eth3(que vai para o modem) -p tcp --dport 3389(RDP) -j DNAT --to-dest 192.168.1.254
iptables -A FORWARD -p tcp -i eth3 --dport 3389 -d 192.168.1.254 -j ACCEPT

feito isso e só abrir o acesso remoto e colocar o ip 200.200.200.201(exemplo) e cai direto no servidor.
Usando essas duas regras você já faz uma NAT diretamente ao seu servidor, lembrando que e só alterar as portas que tem para acesso e ip de destino

se quiser liberar portas no firewall você vai usar as seguintes regras:

para entrada;
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

para saída:
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

a OUTPUT vai usar mais se quiser liberar ou negar um acesso da sua rede local para externa:

Se tiver alguns problemas com isso você pode usar o PFSense, eu uso bastante e simples de configurar e seguro.

Atenciosamente,
Marco A. Hubert