Redirecionar porta 3389 [RESOLVIDO]

dercilima
(usa Debian)

Enviado em 17/03/2011 - 10:28h

Bom dia pessoal,

Preciso redirecionar a porta 3389 (WTS) para o IP 192.168.1.250, mas não estou conseguindo. Já tentei varias regras, varias logicas diferentes e não consegui fazer o redirecionamento. Meu servidor tem duas interfaces de rede: eth0 que recebe o sinal da internet e a eth1 que distribui a conexão para as maquinas da rede. Preciso de uma ajudinha de voces, pois não consegui verificar onde estou errando. Já testei a porta 3389 em varios sites de teste de portas e consta que a porta 3389 está aberta, mas não conecta ao servidor TS.

Segue abaixo meu script:

#!/bin/bash

echo
echo "Aplicando regras Firewall..."
echo


# Variaveis
# ---------------------------------
IPT=/sbin/iptables

IF_EXTERNA=eth0 #Conecta na internet
IF_INTERNA=eth1 #Conecta na rede interna

REDE=192.168.1.0/24


# Carrega modulos
# --------------------------------
modprobe iptable_nat


# Limpa regras
# --------------------------------
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -X
$IPT -X -t nat
$IPT -Z
$IPT -Z -t nat


# Determina a politica padrao
# ---------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT


# Fazer o roteamento da internet
# --------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPT -A POSTROUTING -t nat -s $REDE -o $IF_EXTERNA -j MASQUERADE


# O servidor deixara de responder aos pings
# ------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP


# Protecao contra IP Spoofing, ataques DoS e Buffer Overflow
# IP Spoofing --> Tecnica usada em diversos tipos de ataques, onde o atacante
# envia pacotes usando um endereço IP falseado como remetente,
# tentando assim obter acesso a PCs da rede interna.
# --------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
$IPT -A INPUT -m state --state INVALID -j DROP


# Autorizar pacotes provenientes da interface de loopback (lo)
# e pacotes provenientes da rede interna
# ---------------------------------------------------------------
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IF_INTERNA -j ACCEPT


# Libera portas para acessar o servidor
# ------------------------------------------------
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
$IPT -A INPUT -p tcp --dport 10000 -j ACCEPT #Webmin
$IPT -A INPUT -p tcp --dport 3389 -j ACCEPT #WTS


# Bloquear tentativas de conexões provenientes da internet
# ------------------------------------------------------------
$IPT -A INPUT -p tcp --syn -j DROP


# Liberar a porta o squid apenas para a rede local
# --------------------------------------------------------------
$IPT -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT


# Configurar o proxy transparente
# Com isso redirecionamos todo o trafego de rede que passa pela porta 80 (http) para a 3128 (squid)
# ------------------------------------------------------------
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
# OBS.: está regra esta desativada por causa que o trafego que passa pela porta 80 (http) está sendo redirecionado
# para a porta 8080 que é a porta do Dansguardian


# Configurar o trafego que passa pela porta 80 (http) e 443 (https) para a porta 8080 (Dansguardian)
$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 443 -j REDIRECT --to-port 8080


# Bloqueia a porta 3128 usada pelo squid, para impedir que alguem configure o navegador para acessar
# diretamente pelo squid, sem passar pelo Dansguardian
#$IPT -A INPUT -m tcp -p tcp -s $REDE --dport 3128 -j DROP


# Redirecionar porta

# Terminal Service
$IPT -A FORWARD -i $IF_EXTERNA -d 192.168.1.250 -p tcp --dport 3389 -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to 192.168.1.250


echo
echo "Regras aplicadas com sucesso!!!"
echo



Agradeço a atenção de todos.

maximusmat
(usa CentOS)

Enviado em 17/03/2011 - 10:31h

Eu faço isso aqui no meu servidor com a seguinte regra:
iptables -t nat -A PREROUTING -i ethX -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.250:3389

substitua o ethX pela sua interface de rede, provavelmente eth0.

maximusmat
(usa CentOS)

Enviado em 17/03/2011 - 10:35h

É só você trocar sua regra:

$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to 192.168.1.250

por

$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.250:3389

maximusmat
(usa CentOS)

Enviado em 17/03/2011 - 10:46h

Também altere sua regra:

$IPT -A FORWARD -i $IF_EXTERNA -d 192.168.1.250 -p tcp --dport 3389 -j ACCEPT

por:

$IPT -A FORWARD -i $IF_EXTERNA -p tcp --dport 3389 -j ACCEPT

Pois como essa conexão virá da internet, ela não virá endereçada ao ip interno da sua rede(192.168.1.250). Virá endereçada ao seu ip válido da internet.

Espero ter ajudado...
E desculpe não ter postado tudo em um único tópico, é que fui vendo o que podia ser e postando.

dercilima
(usa Debian)

Enviado em 17/03/2011 - 10:53h

Olá maxumusmat,

Obrigado pela ajuda...

Fiz o que vc orientou e não deu certo. Agora meu script ficou assim:

#!/bin/bash

echo
echo "Aplicando regras Firewall..."
echo


# Variaveis
# ---------------------------------
IPT=/sbin/iptables

IF_EXTERNA=eth0 #Conecta na internet
IF_INTERNA=eth1 #Conecta na rede interna

REDE=192.168.1.0/24


# Carrega modulos
# --------------------------------
modprobe iptable_nat


# Limpa regras
# --------------------------------
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -X
$IPT -X -t nat
$IPT -Z
$IPT -Z -t nat


# Determina a politica padrao
# ---------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT


# Fazer o roteamento da internet
# --------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPT -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE


# O servidor deixara de responder aos pings
# ------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP


# Protecao contra IP Spoofing, ataques DoS e Buffer Overflow
# IP Spoofing --> Tecnica usada em diversos tipos de ataques, onde o atacante
# envia pacotes usando um endereço IP falseado como remetente,
# tentando assim obter acesso a PCs da rede interna.
# --------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
$IPT -A INPUT -m state --state INVALID -j DROP


# Autorizar pacotes provenientes da interface de loopback (lo)
# e pacotes provenientes da rede interna
# ---------------------------------------------------------------
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IF_INTERNA -j ACCEPT


# Libera portas para acessar o servidor
# ------------------------------------------------
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
$IPT -A INPUT -p tcp --dport 10000 -j ACCEPT #Webmin
$IPT -A INPUT -p tcp --dport 3389 -i $IF_EXTERNA -j ACCEPT #WTS


# Bloquear tentativas de conexões provenientes da internet
# ------------------------------------------------------------
$IPT -A INPUT -p tcp --syn -j DROP


# Liberar a porta o squid apenas para a rede local
# --------------------------------------------------------------
$IPT -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT


# Configurar o proxy transparente
# Com isso redirecionamos todo o trafego de rede que passa pela porta 80 (http) para a 3128 (squid)
# ------------------------------------------------------------
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
# OBS.: está regra esta desativada por causa que o trafego que passa pela porta 80 (http) está sendo redirecionado
# para a porta 8080 que é a porta do Dansguardian


# Configurar o trafego que passa pela porta 80 (http) e 443 (https) para a porta 8080 (Dansguardian)
$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 443 -j REDIRECT --to-port 8080


# Bloqueia a porta 3128 usada pelo squid, para impedir que alguem configure o navegador para acessar
# diretamente pelo squid, sem passar pelo Dansguardian
#$IPT -A INPUT -m tcp -p tcp -s $REDE --dport 3128 -j DROP


# Redirecionar porta

# Terminal Service
$IPT -A FORWARD -i $IF_EXTERNA -p tcp --dport 3389 -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.250:3389


echo
echo "Regras aplicadas com sucesso!!!"
echo


O que posso estar fazendo de errado?

abraços

maximusmat
(usa CentOS)

Enviado em 17/03/2011 - 11:46h

Pode ser que o seu modem/roteador não esteja redirecionando os pacotes da porta 3389 para o seu servidor, tente habilitar na interface do seu modem/roteador um nat redirecionando da porta 3389 do modem/roteador para a porta 3389 do seu servidor.

dercilima
(usa Debian)

Enviado em 19/03/2011 - 08:27h

Bom dia...

Fiz o que foi solicitado, entrei no meu modem e redirecionei a porta 3389 para o servidor, mas mesmo assim não conecta, da erro de conexão, como se o computador não estivesse disponivel. Já testei o acesso remoto ao server 2003 na rede interna e conecta normalmente. Realizei os testes de portas em dois site e confirmam que a porta 3389 está aberta mas mesmo assim continua não conectando.

Agradeço a ajuda, e peço que se tiver mais alguma dica ou ideia eu agradeço.

abraço

vaini
(usa Debian)

Enviado em 19/03/2011 - 11:38h

Cara, como é sua conexão com a internet?

Opção 1:
Seu servidor pega net ja roteada pelo modem.

Opção 2:
Seu servidor faz a conexão ppp.

Opção 3:
Sua net é ip fixo.

Só mais uma coisinha.
Não vejo a necessiade dessa regra:
$IPT -A FORWARD -i $IF_EXTERNA -d 192.168.1.250 -p tcp --dport 3389 -j ACCEPT

porque vc ja definiu a politica padrão do FORWARD como ACCEPT:
$IPT -P FORWARD ACCEPT

dercilima
(usa Debian)

Enviado em 21/03/2011 - 09:08h

bom dia Galera,

Obrigado vaini pela ajuda...

Vou te explicar melhor como é a minha conexão com a internet.

Internet --> Modem (faz a conexão com a internet (pppoe)) --> Servidor firewall (recebe a conexão do modem e compartilha com a rede interna) --> rede interna

Não uso ip fixo, uso duas placas de rede no servidor: uma recebe a conexão e a outra compartilha.

já fiz varios testes, segui varios tutoriais e não estou conseguindo conectar ao meu servidor ts;

Agradeço a ajuda de todos. Abraços

vaini
(usa Debian)

Enviado em 21/03/2011 - 13:45h

Cara, então vc tem duas opções.

1ª opção:
Fazer o NAT direto pelo modem. Mandando direto para seu Windows Server
Por exemplo:
NAT no modem na porta 3389, direcionando para o IP 192.168.1.250 (servidor windows)

2ª opção:
Fazer o NAT pelo linux. Neste caso, obrigatoriamente voce também teria que fazer um NAT no modem. Porém o NAT do modem ia
mandar para o linux, e o linux ia redirecionar para o ip certo.
Por exemplo:
NAT no modem na porta 3389, direcionando para o IP 192.168.1.1 (servidor linux)
NAT no linux na porta 3389, direcionando para o IP 192.168.1.250 (servidor windows)

Só mais uma coisa, deixe sua regra assim:
$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to 192.168.1.250:3389

Testa ai, e qualquer coisa é só postar.
Caso resolver, encerre o topico e escolha a melhor resposta.

Abraços.

gek09
(usa Debian)

Enviado em 31/03/2011 - 09:09h

Olá dercilima, estava tendo problemas com o acesso VPN no meu servidor utilizei esta regra abaixo:

#Configuracoes para conexao VPN
iptables -t nat -A PREROUTING -s $IF_EXTERNA -p tcp -m tcp --dport 3030 -j DNAT --to $IF_INTERNA
iptables -t nat -A POSTROUTING -s $IF_INTERNA -p tcp -m tcp --dport 3030 -j SNAT --to $IF_EXTERNA

No seu caso é só alterar as portas 3030 para 3389.
Depois criei esta outra regra abaixo para conectar a minha VPN.

#Variaveis
$IF_SRV=[IP do seu Servidor TS]

iptables -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 1723 -j DNAT --to [IP do seu TS]

Altere a porta 1723 para 3389
Espero ter ajudado.

Abraço!

dercilima
(usa Debian)

Enviado em 02/04/2011 - 09:06h

Bom dia gek09,

obrigado pelas dicas...

Quando eu informo as regras que vc me passou aparece as seguintes mensagens:

iptables v1.4.8: Bad IP address "eth1"

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.8: Bad IP address "eth0"

Try ´iptables -h' or 'iptables --help' for more information.

o que pode ser isso?

Obrigado... Abraços