redirecionamento de portas entre duas máquinas

lufreitas
(usa Ubuntu)

Enviado em 15/09/2011 - 15:57h

Eu tenho uma problema com redirecionamento de portas entre duas máquinas da mesma subrede. Sei que é um problema clássico, mas gostaria de ajuda de vocês para entender/aprender melhor.
Tenho pesquisado aqui no vol e em outros sites sobre o assunto, achei exemplos que fazem isso, mas não consigo adequar ao meu caso.
Na maioria dos exemplos o servidor firewall tem duas interfaces de rede. No meu caso eu vou fazer uma NAT mas o servidor que conterá as rules do iptables não é o gw da rede nem um firewall, somente uma máquina interna, e eu preciso redirecionar portas de uma máquina para outra.

Cenário:
maquina 1 = 10.10.6.1
maquina 2 = 10.10.0.2
ambas as maquina possuem somente a interface eth0

máquina 3 = 10.10.0.3
possui 2 interfaces mas a relevante para esse caso também é a eth0

O objetivo é redirecionar portas da maquina1 para as outras máquinas.

maquina1:65001 -> maquina2:22
maquina1:65002 -> maquina3:65000

dennis.leandro
(usa Debian)

Enviado em 15/09/2011 - 16:06h

Seguinte...as regras ficaram basicamente assim:
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 65001 -j DNAT --to-destination 10.10.0.2:22
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 65002 -j DNAT --to-destination 10.10.0.3:65000

Essas regras voce deve colocar na maquina 1, a qual faz a conexao com as outras maquinas da subrede!
Acho que dara certo!
Testa ai e manda o resultado pra ver se deu certo!

;D

lufreitas
(usa Ubuntu)

Enviado em 15/09/2011 - 16:24h

Não duvido da corretude das regras, acho que tem algum problema de acesso nas portas da maquina1 que são redirecionas.
Fiz um scan com nmap de outra rede, e elas não estão abertas.
Utilizei o netcat para uma porta mostrada aberta do nmap, porta 22 e uma das portas que vão fazer nat. Para a porta 22 consegui retorno positivo, para a outro não ( Connection timed out).

Tem mais algum teste que eu passa fazer pra verificar se essas duas portas estão "open" na rede. Porque sem isso a nat não funciona, certo!

dennis.leandro
(usa Debian)

Enviado em 15/09/2011 - 17:36h

@lufreitas, uma porta aberta, nao quer dizer que o servico esta disponibilizado!
O nmap procura a porta+servico, por isso retorna a porta 80 em servidores de web!
Verifique se os servicos nas respectivas portas estao disponiveis!
Abraco

removido
(usa Nenhuma)

Enviado em 15/09/2011 - 18:57h

lufreitas, boa noite!

Você se conecta as outras maquinas (2 e 3) da maq1 sem problema e vice-versa usando qualquer serviço?

Pois quando dividimos uma rede em subredes, as mesmas não conseguem se enxergar. pois ficam com endereços de rede diferentes.

posta ai sua resposta.

dennis.leandro
(usa Debian)

Enviado em 16/09/2011 - 09:26h

Mas com um gw fazendo a ligacao entre as duas, elas conseguem se comunicar, e aparentemente eh o que ela fez!
;D
Agora soh esperar que seja feito os testes do redirecionamento e que de tudo certo!

removido
(usa Nenhuma)

Enviado em 16/09/2011 - 11:50h

é colega, aparetemente. quando postei não sabia e ainda continuo sem saber se tem um gw ligando as duas subredes.

Mas se ela fez isso blz então...

dennis.leandro
(usa Debian)

Enviado em 16/09/2011 - 12:07h

Entao @eabreu, aparentemente o gw eh a maquina 1!
Vamos aguardar os resultados dos testes, pra ter certeza!

Abraco

lufreitas
(usa Ubuntu)

Enviado em 16/09/2011 - 13:37h

Olas eabreu e dennis,

O ambiente de rede que estou fazendo esses redirecionamentos de portas é somente um pedaço de uma grande rede de uma instituição.
Eu tenho conhecimento das 3 maquinas em questão, não sei maiores detalhes sobre quem é o gw das sub-redes, acredito que seja outro servidor que é dns entre outras coisas.
A maquina1 tem visibilidade de fora dessa rede interna, ou seja, é acessível com um ip válido, porém pra mim o ip dela é 10.10.6.1, essa acessibilidade para essa maquina1 acontece numa hierarquia acima da rede.

Essa explicação é pra dizer que o objetivo desse redirecionamento de portas e utilizar a maquina1 para acessar aplicações em outras duas maquinas que são maquinas da rede local.
exemplo:
maquina2 <-------
maquina1 <------> Internet
maquina3 <-------

Nas portas 65001 e 65002 não tem nenhuma daemon ou serviço, sua finalidade é ser "atalho" ou "passagem" para as respectivas portas 22 e 65000 em outras máquinas, e nessas outras máquinas sim possuem o serviço de ssh(22) e um daemon(65000).

dennis.leandro
(usa Debian)

Enviado em 16/09/2011 - 13:49h

Certo, e como eh feita a conexao das maquinas 2 e 3?

lufreitas
(usa Ubuntu)

Enviado em 16/09/2011 - 13:54h

Acredito que estão no mesmo Switch, ambas se enxergam.

dennis.leandro
(usa Debian)

Enviado em 16/09/2011 - 14:02h

Certo, mas e o switch eh ligado onde??