2 ips não conseguem acessar meu TS [RESOLVIDO]

zeramos
(usa Slackware)

Enviado em 12/03/2010 - 12:21h

Olá galera.

Já não sei mais o que fazer pessoal, meu ts estava tudo ok, de uma semana para cá, 2 endereços ips não conseguem mais se conectar em meu servidor TS.
Fora o TS ainda tenho um servidor de monitoramento e esses 2 ips acessam tranquilamente este servidor, menos o TS.
Já revirei minhas regras no firewall (abaixo) e nada, criei uma regra específica para que um dos ips tentasse acessar porém nada feito.
Utilizando o comando tcpdump escutando a porta padrão do TS 3389, não consigo receber nenhuma informação destes 2 ips, de outros ips o comando retorna resultados.

Minha rede esta assim:

modem (speedy negocios) ------ etho - Servidor Internet (slack 12)
Servidor internet - eth1 --------switch ---- ts Server

Estas são minhas regras:


### aceitar ftp ####
modprobe ip_nat_ftp

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

############## libera acesso ao ssh apenas para rede interna ##############
iptables -A INPUT -p tcp -i eth0 --dport 22 -j DROP

############ bloqueia samba para rede externa ###########################
iptables -A INPUT -p tcp -i eth0 --dport 137:139 -j DROP


####################### bloqueia acesso externo a porta 25 ######################
iptables -A INPUT -p tcp -i eth0 --dport 25 -j DROP


####################### acesso externo ao servidor de videos ######################
iptables -A INPUT -p tcp -i eth0 --dport ABCD -j DROP
iptables -t nat -A PREROUTING -d 200.CCC.DDD.EEE -p tcp --dport ABCD -j DNAT --to 192.168.0.33:ABCD
iptables -t nat -A POSTROUTING -d 192.168.0.33 -p tcp --dport ABCD -j SNAT --to 200.CCC.DDD.EEE

####################### acesso externo ao TS ######################

#iptables -A INPUT -p tcp -i eth0 --dport 3389 -j DROP
iptables -t nat -A PREROUTING -d 200.CCC.DDD.DDD -p tcp --dport 3389 -j DNAT --to 192.168.0.3:3389
iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 3389 -j SNAT --to 200.CCC.DDD.EEE
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

####################### acesso NFe ######################

iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -d 200.CCC.DDD.EEE -p tcp --dport 443 -j DNAT --to 192.168.0.3:443
iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 443 -j SNAT --to 200.CCC.DDD.EEE


###################################################################################
#### BLOQUEIO MSN

iptables -I FORWARD -s 192.168.0.2/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.0.2/255.255.255.0 -d loginnet.passport.com -j REJECT


###################################################################################
echo "1" >/proc/sys/net/ipv4/ip_forward

############### bloqueia ping #####################
echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all

squid


Da uma luz ai galera.

Abraço.

Zeramos

irado
(usa XUbuntu)

Enviado em 12/03/2010 - 19:24h

o que observo é o seguinte:

vc impede o acesso vindo por eth0:

#iptables -A INPUT -p tcp -i eth0 --dport 3389 -j DROP

então, suponho que as demais regras serão aplicaveis apenas a eth1:

iptables -t nat -A PREROUTING -d 200.CCC.DDD.DDD -p tcp --dport 3389 -j DNAT --to 192.168.0.3:3389
iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 3389 -j SNAT --to 200.CCC.DDD.EEE
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

por suposto (sua arte em ASCII, lá em cima) o acesso só será possível vindo da internet; coloque o tcpdump para "olhar" essa placa, filtrando por host:

#tcpdump -vvv -i eth1 host ip.addr.01 and host ip.addr.02

isso vai capturar os pacotes que venham (ou vão) para os dois hosts que vc precisa analisar. Daí, tente o acesso e observe.

zeramos
(usa Slackware)

Enviado em 12/03/2010 - 19:31h

Essa linha

#iptables -A INPUT -p tcp -i eth0 --dport 3389 -j DROP


Ta comentada. Eu aguardo conexões pela eth0 mesmo....
Abs

intelitec
(usa Suse)

Enviado em 15/03/2010 - 10:24h

olha... pode ser que o problema nao está no teu firewall... e sim algum bloqueio na origem.. pq se todo mundo acessa teu ts, menos esses 2 ips.... possivelmente o problema nao é teu firewall.....

ZERAMOS
(usa Slackware)

Enviado em 15/03/2010 - 14:03h

Pois é cheguei a esta conclusão tbem.
Entrei em contato com a Telefônica (pela 4 vez) e decidiram encaminhar um técnico para verificar na central Speedy aqui da minha cidade, pelo visto o erro está lá mesmo.
Vou aguardar e escrevo o resuldo, espero que seja em breve.

Abs.

zeramos
(usa Slackware)

Enviado em 19/03/2010 - 09:55h

Olá galera.

Como já era de se esperar....

Uma das empresas trocou o endereço IP fixo e foi manobrada sua porta na central e advinha.... bingo, voltou a se conectar ao meu servidor, logo chego a conclusão que já era esperada, problema na Telefônica. Agora preciso fazer o mesmo em meu IP para que a segunda empresa possa voltar a se conectar (esta de grande porte não pode mudar o ip).
Abraços a todos.

zeramos
(usa Slackware)

Enviado em 22/03/2010 - 18:08h

Pior que eu imaginava.

O meu ip foi trocado e advinha?
A segunda empresa consegue se conectar mas a primeira que se conectava não consegue.
Liguei diretamente um notebook direto ao modem em cada ponto, na minha empresa e no escritório e não consigo resposta de nada, nem de ping nem de tracert, o que me leva a crer que novamente estou com problemas no roteamento entre os endereços.
A novela continua.....

Ps: agora so o escritorio que não conecta.

zeramos
(usa Slackware)

Enviado em 26/08/2010 - 20:08h

Finalizando uma história que até agora não acabou.

Segundo a Telefônica (atendente) eu não conseguirei conectar ao Terminal Service quando o o primeiro octeto do ip do cliente for igual ao do meu servidor. Ex: Se por acaso minha residência obter o ip iniciado com 201 eu não conseguirei me conectar ao TS, deverei eu ligar e desligar o modem até que eu pegue outro ip que não seja o 201. Sem comentários. E como eu faço se o cliente tiver ip fixo? Só a telefônica mesmo.

irado
(usa XUbuntu)

Enviado em 27/08/2010 - 16:37h

essa informação da telecômica não tem o menor sentido: "não conseguirei conectar ao Terminal Service quando o o primeiro octeto do ip do cliente for igual ao do meu servidor"

normalmente, a telecômica oferece a vc um ip.addr com mascaramento /26, ou seja (são apenas exemplos):

201.199.199.199/26
HostMin: 201.199.199.193
HostMax: 201.199.199.254

então a outra máquina (digamos) ficaria:

201.198.198.199
HostMin: 201.198.198.193
HostMax: 201.198.198.254

Ora, as máquinas NÃO estão na mesma rede, PORTANTO é obrigação dos ROTEADORES encaminhaerem os pacotes. E vc não tem nada com isso, vc recebe/envia pacotes. Tem graça?

mas prossigamos: digamos que seu ip fosse 201.199.199.193 e o do seu cliente fosse 201.199.199.254 AMBOS estariam no mesmo barramento (segmento de rede) então (teoricamente) viriam a se comunicar sem interveniencia de roteadores. Basta comparar com sua própria rede: por acaso suas máquinas DEIXAM de se falar, estando no mesmo barramento?

volte lá e ensine alguma coisa pra essa sem-noção que te atendeu.

zeramos
(usa Slackware)

Enviado em 27/08/2010 - 17:29h

Olá Irado vc tem razão comparando desta forma.


Os testes que fizemos foram:

(ips fictícios mas similares)

200.192.23.175 no server

Ips que se conectaram

todos começando com 189 e 201, ips normalmente dados aqui na nossa região


Ips que não se conectaram

todos iniciados com 200 (não do mesmo barramento Ex: 200.12, 200.23, 200.50)
Inclusive quando o problema iniciou o server era 200.204.xxx.xxx e um dos clientes era 200.204.yyy.yyy, até um dia funcionava perfeitamente, de um dia pro outro parou tudo.

Detalhe cheguei a pensar que fosse o TS, tipo, algum bloqueio da Telefonica, porém fiquei analisando de diversas formas, ping, traceroute, nmap, e fazendo tcpdump em diversas portas (ssh, telnet, ts) e em nenhum desses casos houve comunicação entre um ip iniciado com 200 e meu servidor, efetuando os mesmos testes com ips 201 e 189 todos o tcpdump receptava pacotes imediatamente em todas as portas que foram analisadas.
Com esses dados em mãos entrei em contato com a Telefônica, porém eles insistem em dizer que não existe solução, que o problema esta na central deles em nossa cidade.
Logo, AINDA estou sujeito a qualquer momento de perder o acesso de um cliente ao meu server, a Telefônica simplesmente ignora, agenda contatos que não são efetuados deixando esse problema sem solução.
Acho que entrarei em contato com a ANATEL.

Abraço.

LeonardoKadina
(usa Ubuntu)

Enviado em 05/11/2010 - 10:08h

Olha Meu sei que faz tempo mas irei te dar uma simples descrição do seu problema, estas empresas (todas) que vendem serviços de Internet é como se fosse uma rede da onde a gente trabalha só que com muito mais investimento, e isso ocorre muito com a NET aqui em SP pois se eles fazem manutenção na rede deles alguns IPs perdem a rota e acabam não encontrando o outro, já tive problema com a TELEFÔNICA e como já disse com a NET.

Fica a Dica para nós meros Técnicos que aos olhos das empresas somos nada.


OBS. se voce conseguiu resolver o seu problema coloque o RESOLVIDO no seu POST.


Valeu e BOA SORTE!

Leonardo Gimenez
Gerente de TI
Kadina Soluções em Informática

DEBIAN / UBUNTU

zeramos
(usa Slackware)

Enviado em 05/11/2010 - 11:23h

Ola

Realmente colega o problema era rota, porém a Telefônica dificulta muito a manutenção da central para resolver isso, por sorte tenho um amigo que é técnico da Telefônica e me instruiu como fazer para conseguir abrir um chamado para que fossem remanejadas as portas na central da minha cidade, porém como eu disse, a qualquer momento posso ficar sem acesso a meu servidor. Uma pena.
Mas o problema foi resolvido momentâneamente.

Abraço