Terminal Service [RESOLVIDO]

suportetiv
(usa Ubuntu)

Enviado em 27/09/2010 - 21:03h

Boa Noite! Sou iniciante no linux e gostaria de uma ajuda com meu Terminal Service. Configurei mei firewall + squid, esta tudo beleza exceto meu acesso de detro para fora da rede via terminal. O que acontece é que eu consigo acessa meu servidor 2003 de fora mais não consigo acessa outro servidor saindo de minha rede. Já seguir diversos tópicos enão resolvi meu problema. Uso o ubuntu server 10 x86. Mais já tentei com o 9 e o 8. sem resultados. Vai abaixo meu firewall.

#!/bin/bash

firewall_start(){

echo "Limpando as regras do firewall"
iptables -X
iptables -F -t filter
iptables -X -t filter
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

##>> Abre a faixa de endereços da rede local

iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

##>> COMPARTILHAMENTO E PROXY TRANSPARENTE

echo "####>> Ativando o compartilhamento da internet <<####"
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "####>> Mascarando a placa de rede eth0 (Rede externa) <<####"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "####>> Ativando o proxy transparente <<####"
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

##>> BLOQUEAR ACESSO AO MSN MESSENGER
iptables -A FORWARD -s 192.168.254.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.254.0/24 -d loginnet.passport.com -j REJECT

echo "####>> Abrindo a porta do servidor ssh (54323) <<####"
iptables -A INPUT -p tcp --dport 54323 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 54323 -j ACCEPT

echo "####>> Abrindo a porta do Terminal (3389) <<####"
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3389 -j ACCEPT

echo "####>> Redirecionando portas <<####"
iptables -I FORWARD -p tcp -i eth1 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.254.253:3389

##>> CONECTIVIDADE SOCIAL

echo "#### >> Liberando ip's da caixa economica (cmt.gov.br) <<####"
iptables -t nat -I PREROUTING -d 200.223.17.180/255.255.0.0 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.173.168/255.255.0.0 -j ACCEPT

#### >> Ignora pings
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#### >> Proteção contra IP spoofing << ####
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback.

iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j ACCEPT
iptables -A INPUT -p udp --dport 59229 -j DROP


# bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP

echo "O Firewall esta sendo carregado..."
sleep 1
echo "Tudo pronto!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O Firewall esta sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O Firewall esta sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

Se alguem poder me ajudar, desde já agradeço.

Charlles Anderson

rither
(usa Red Hat)

Enviado em 29/09/2010 - 17:01h

Se entendi bem, vc consegue acessar seu servidor (192.168.254.253) de fora da sua rede mas nao consegue acessar apartir de sua rede (192.168.254.0/24) servidores na internet via RDP OK?

dando uma olhada basica, nao encontrei nenhuma regra de FORWARD para porta RDP (3389)

tente adicionar
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

suportetiv
(usa Ubuntu)

Enviado em 29/09/2010 - 18:44h

Adicionei esta regra mais não funcionou.
Quando dou um nmap porta 3389 localhost da porta close

rither
(usa Red Hat)

Enviado em 30/09/2010 - 08:28h

Cara, normalmente não era pra listar mesmo a porta ...
vamos tentar de outra forma

Adicione as regras abaixo e faça um teste.
iptables -I FORWARD -p tcp --dport 3389 -j ACCEPT (mesma do post anterior)
iptables -I FORWARD -p tcp --sport 3389 -j ACCEPT (nova regra)

após isso tente acessar algum servidor na internet com o RDP ativado.

Se não der certo, abra dois terminais e faça o seguinte
telnet <ip_do_servidor> 3389

enquanto ele tenta executar o telnet, no outro terminal digite netstat -na e veja se esta SYN_SENT...

Se mesmo assim não funcionar, teremos que fazer algumas outras alterações em seu script de firewall.

abraço

kbcasagrande
(usa Slackware)

Enviado em 30/09/2010 - 09:20h

Voce não consegue acessar um servidor 2003 em um ambiente externo à sua rede?
Bom, entendi isso.

Tenta o seguinte:

iptables -I FORWARD -s 192.168.0.0/24 -d (ip_destino) --dport 3389 -p tcp -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -d (ip_destino) -j MASQUERADE

ou

iptables -I FORWARD -s 192.168.0.0/24 -d (ip_destino) --dport 3389 -p tcp -j ACCEPT
iptables -I POSTROUTING -s 192.168.0.0/24 -o (interface_externa) -j SNAT --to (IP_EXTERNO)

rither
(usa Red Hat)

Enviado em 30/09/2010 - 09:42h

Cara acho que esse MASQ que vc mandou ele fazer é desnecessário já que ele tem um MASQ geral para quem sai na interface WAN dele....

Masssssss... não custa nada tentar...

kbcasagrande
(usa Slackware)

Enviado em 30/09/2010 - 10:38h

ok...realmente não havia percebido isso....

kbcasagrande
(usa Slackware)

Enviado em 30/09/2010 - 11:15h

teoricamente deveria funcionar....
voce pode monitorar a conexão com tcpdump:

tcpdump -i (interface externa) -n port 3389

andre_ramos
(usa openSUSE)

Enviado em 30/09/2010 - 17:37h

Karos amigos!

Estou com o mesmo problema do nosso amigo, não consigo acessar meu servidor qdo estou em minha rede interna, consigo ter acesso nele somente quando estou fora da rede, ou seja, pela rede externa.

coloquei as regras fornecidas pelos colegas e nada.

oque pode ser?

suportetiv
(usa Ubuntu)

Enviado em 01/10/2010 - 08:52h

Bom dia a todos.

Fiz todos os testes com essas regras mais não funcionou. O que pude notar, é que. Quando abro qualquer navegador e digito o endereço(noip) ou ip de destino do servidor que quero atingir ele sai normalmente. Então o problema é somente com o serviço de terminal. Só lembrando que quando tiro o Linux da rede o terminal funciona normalmente.
Fico aberto a qualquer mudança que tenha que fazer em meu servidor.

suportetiv
(usa Ubuntu)

Enviado em 02/10/2010 - 16:51h

Boa Tarde a todos.

Quero agradecer a todos que tentaram me ajudar e avisar que conseguir resolver meu caso da seguinte forma.
Minha regra estava assim:

echo "####>> Abrindo a porta do Terminal (3389) <<####"
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3389 -j ACCEPT

echo "####>> Redirecionando portas <<####"
iptables -I FORWARD -p tcp -i eth1 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.254.253:

O Antônio Fernandes modificou minha ultima linha deixando-a da seguinte forma:

iptables -t nat -I PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.254.253:3389.

Onde foi acrescentado o: -i eth0

Obrigado a todos

Charlles Anderson