Acesso Externo nos servers Windows com Linux Fedora como proxy e Firewall [RESOLVIDO]

santosfa123
(usa Fedora)

Enviado em 10/03/2014 - 11:34h

Bom dia a todos,

Sou novo aqui e é minha primeira duvida. rsrs

Pessoal é o seguinte, tenho um firewall Fedora em uma unidade e preciso realizar acessos externos nos servidores Windows que tenho nessa Unidade e quero acessar via WTS de uma estação qualquer fora da empresa. Se possível, gostaria de uma explicação bem detalhada de como realizar esse procedimento, pois não tenho muita experiência com Linux, rsrsrs. Outro detalhe é que temos o OpenVPN instalado e acessávamos via certificados por um programa do OpenVPN Client, mas agora está dando erro e não sei corrigir esse erro. Contratamos uma empresa para solucionar esse lance dos certificados, porém a resposta era que teríamos que refazer o firewall do zero, mas como a empresa está passando dificuldades financeiras, não estamos podendo gastar com suportes.

Obrigado pela atenção.

Flávio

souzacarlos
(usa Outra)

Enviado em 10/03/2014 - 12:15h

Bom dia, vamos por parte.

Primeiro o Acesso Remoto, para funcionar além da liberação nas máquinas acessadas, creio que isso vc já tenha feito, é preciso liberar o no FW, tanto nas regras de FORWARD quanto NAT PREROUTING, para uma ajuda mais precisa peço que informe suas configurações de FW para sabermos o que precisa ser alterado.

Aguardo.

santosfa123
(usa Fedora)

Enviado em 10/03/2014 - 13:20h

Boa tarde SousaCarlos,

Obrigado em responder. Como consigo verificar minhas configurações de FW? Cara, desculpe, mas eu sou uma criança aprendendo a Falar quando se trata de Linux. rsrs. Vou expor o que exatamente eu quero fazer talvez seja mais fácil: Eu tenho, como coloquei aqui, um Linux Fedora como firewall e proxy. O que exatamente eu preciso é uma regra que me permita acessar meus servidores internos da minha casa. Antes aqui na empresa com a antiga administração do TI, era assim o acesso: O suporte colocava um IP fixo como xxx.xxx.xxx.xxx:uma porta e os acessos era diretos no servidores Windows. Hj está por certificados, mas estão com problemas. Quero chegar em um server Windows desta forma novamente. Acredito que com uma regra seria o suficiente, pois consegui acessar minhas câmeras de fora da rede usando umas regras que achei na net com iptables, porém tentei aplica-la para os acessos externos e não funcionou.

Obrigado denovo

Flavio.

souzacarlos
(usa Outra)

Enviado em 10/03/2014 - 13:38h

==================================

Boa tarde.

Faz o seguinte digita no terminal:

iptables -L "depois copia o resultado e cola aqui.

Faz a mesma coisa com o comando iptables -L -t nat

Aguardo,

santosfa123
(usa Fedora)

Enviado em 10/03/2014 - 13:48h

"Boa tarde.

Faz o seguinte digita no terminal:

iptables -L "depois copia o resultado e cola aqui.

Faz a mesma coisa com o comando iptables -L -t nat

Aguardo",

Conforme solicitado segue o primeiro comando iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- fwin-mercosul02 255.255.255.255 udp spt:bootps
ACCEPT udp -- 10.0.0.0/8 10.255.255.255 udp spts:netbios-ns :netbios-dgm
ACCEPT tcp -- 10.0.0.0/8 anywhere tcp dpt:squid
ACCEPT udp -- anywhere anywhere udp spt:bootpc
ACCEPT tcp -- 187-75-214-221.dsl.telesp.net.br anywhere tcp dp t:9922
ACCEPT tcp -- 187-072-051-100.static.ctbctelecom.com.br anywhere tcp dpt:9922
ACCEPT tcp -- 177.101.127.150 anywhere tcp dpt:9922
ACCEPT tcp -- 187-55-54-165.bnut3700.e.brasiltelecom.net.br anywhere tcp dpt:9922
ACCEPT tcp -- b1206874.virtua.com.br anywhere tcp dpt:9922
ACCEPT tcp -- 10.0.0.0/8 anywhere tcp dpt:9922
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:9922
DROP tcp -- anywhere anywhere tcp dpt:9922
ACCEPT all -- localhost localhost
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- 10.0.0.0/8 anywhere
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT udp -- 10.0.0.0/8 anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:9922
ACCEPT udp -- c9067b4e.static.spo.virtua.com.br anywhere udp d pt:openvpn
ACCEPT tcp -- c9067b4e.static.spo.virtua.com.br 177.101.127.150 tcp d pt:munin
ACCEPT all -- anywhere anywhere state RELATED,ESTAB LISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:pptp
ACCEPT udp -- anywhere anywhere udp dpt:pptp
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT gre -- anywhere anywhere
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
DROP tcp -- anywhere anywhere tcp dpt:squid
LOG all -- anywhere anywhere LOG level warning p refix `INPUT-'

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.0.0.0/8 192.168.0.0/16
ACCEPT all -- 10.1.1.102 anywhere
ACCEPT all -- 10.1.1.205 anywhere
ACCEPT all -- 10.1.1.163 anywhere
ACCEPT all -- 10.1.1.224 anywhere
ACCEPT all -- 10.1.1.184 anywhere
ACCEPT all -- 10.1.1.124 anywhere
ACCEPT all -- 10.1.1.140 anywhere
ACCEPT all -- 10.1.1.117 anywhere
ACCEPT all -- 10.1.1.80 anywhere
ACCEPT all -- 10.1.1.61 anywhere
ACCEPT all -- 10.1.1.141 anywhere
ACCEPT all -- 10.1.1.37 anywhere
ACCEPT all -- 10.1.1.16 anywhere
ACCEPT all -- 10.1.1.30 anywhere
ACCEPT all -- 10.1.1.243 anywhere
ACCEPT all -- 10.1.1.19 anywhere
ACCEPT all -- 10.1.1.113 anywhere
ACCEPT all -- 10.1.1.129 anywhere
ACCEPT all -- 10.1.1.207 anywhere
ACCEPT all -- 10.1.1.209 anywhere
ACCEPT all -- 10.1.1.73 anywhere
ACCEPT all -- 10.1.1.139 anywhere
ACCEPT all -- 10.1.1.11 anywhere
ACCEPT all -- 10.1.1.108 anywhere
ACCEPT all -- 10.1.1.190 anywhere
ACCEPT all -- 10.1.1.10 anywhere
ACCEPT all -- 10.1.1.238 anywhere
ACCEPT all -- mercosulsc.com anywhere
ACCEPT all -- 10.1.1.100 anywhere
ACCEPT all -- 10.1.1.93 anywhere
ACCEPT all -- 10.1.1.89 anywhere
ACCEPT all -- 10.1.1.97 anywhere
ACCEPT all -- 10.1.1.158 anywhere
ACCEPT all -- 10.1.1.157 anywhere
ACCEPT all -- 10.1.1.156 anywhere
ACCEPT all -- 10.1.1.155 anywhere
ACCEPT all -- 10.1.1.161 anywhere
ACCEPT all -- 10.1.1.193 anywhere
ACCEPT all -- 10.1.1.116 anywhere
ACCEPT all -- 10.1.1.174 anywhere
ACCEPT all -- 10.1.1.175 anywhere
ACCEPT all -- 10.1.1.194 anywhere
ACCEPT all -- 10.1.1.154 anywhere
ACCEPT all -- 10.1.1.189 anywhere
ACCEPT all -- 10.1.1.106 anywhere
ACCEPT all -- 10.1.1.8 anywhere
ACCEPT all -- 10.1.1.204 anywhere
ACCEPT all -- 10.1.1.52 anywhere
ACCEPT all -- 10.1.1.54 anywhere
ACCEPT all -- 10.1.1.53 anywhere
ACCEPT all -- 10.1.1.58 anywhere
ACCEPT all -- 10.1.1.57 anywhere
ACCEPT all -- 10.1.1.56 anywhere
ACCEPT all -- 10.1.1.55 anywhere
ACCEPT all -- 10.1.1.62 anywhere
ACCEPT all -- 10.1.1.63 anywhere
ACCEPT all -- 10.1.1.64 anywhere
ACCEPT all -- 10.1.1.65 anywhere
ACCEPT all -- 10.1.1.66 anywhere
ACCEPT all -- 10.1.1.67 anywhere
ACCEPT all -- 10.1.1.68 anywhere
ACCEPT all -- 10.1.1.69 anywhere
ACCEPT all -- 10.1.1.70 anywhere
ACCEPT all -- 10.1.1.71 anywhere
ACCEPT all -- 10.1.1.72 anywhere
ACCEPT all -- 10.1.1.73 anywhere
ACCEPT all -- 10.1.1.75 anywhere
ACCEPT all -- 10.1.1.25 anywhere
ACCEPT all -- 10.1.1.125 anywhere
ACCEPT all -- 10.1.1.76 anywhere
ACCEPT all -- 10.1.1.77 anywhere
ACCEPT all -- 10.1.1.79 anywhere
ACCEPT all -- 10.1.1.117 anywhere
ACCEPT all -- 10.1.1.81 anywhere
ACCEPT all -- 10.1.1.82 anywhere
ACCEPT all -- 10.1.1.83 anywhere
ACCEPT all -- 10.1.1.93 anywhere
ACCEPT all -- 10.1.1.138 anywhere
ACCEPT all -- 10.1.1.238 anywhere
ACCEPT all -- 10.1.1.200 anywhere
ACCEPT all -- 10.1.1.161 anywhere
ACCEPT all -- 10.1.1.162 anywhere
ACCEPT all -- 10.1.1.78 anywhere
ACCEPT all -- 10.1.1.82 anywhere
ACCEPT all -- 10.1.1.86 anywhere
ACCEPT all -- 10.1.1.98 anywhere
ACCEPT all -- 10.1.1.119 anywhere
ACCEPT all -- 10.1.1.181 anywhere
ACCEPT all -- 10.1.1.118 anywhere
ACCEPT all -- 10.1.1.178 anywhere
ACCEPT all -- 10.1.1.124 anywhere
DROP tcp -- 10.0.0.0/8 anywhere multiport dports ht tp,https
ACCEPT tcp -- 182.16.101.201 177.101.127.150
ACCEPT udp -- 182.16.101.201 177.101.127.150
ACCEPT tcp -- 177.101.127.150 182.16.101.201
ACCEPT udp -- 177.101.127.150 182.16.101.201
ACCEPT tcp -- anywhere anywhere tcp dpt:vat
ACCEPT tcp -- anywhere anywhere tcp dpt:ov-nnm-webs rv
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:exp2
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:http
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:ndmp
ACCEPT tcp -- anywhere 200.198.239.0/24 tcp dpt:http
LOG all -- anywhere anywhere LOG level warning p refix `FORWARD-'

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning p refix `OUTPUT-'

SEGUNDO COMANDO: iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:9005 to:10.1.1.200
DNAT tcp -- anywhere anywhere tcp dpt:9004 to:10.1.1.200
DNAT tcp -- anywhere anywhere tcp dpt:9003 to:10.1.1.200
DNAT tcp -- anywhere anywhere tcp dpt:dynamid to:10.1.1.200
DNAT tcp -- anywhere anywhere tcp dpt:etlservicemgr to:10.1.1.200
DNAT tcp -- anywhere anywhere tcp dpt:cslistener to:10.1.1.200
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6060 to:10.1.1.173:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6059 to:10.1.1.238:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6058 to:10.1.1.159:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6057 to:10.1.1.204:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6056 to:10.1.1.203:3389
DNAT tcp -- anywhere anywhere tcp dpt:paragent to:10.1.1.1:1022
DNAT tcp -- anywhere anywhere tcp dpt:glrpc to:10.1.1.1:80
DNAT tcp -- anywhere anywhere tcp dpt:9030 to:10.1.1.1:10000
LOG all -- anywhere anywhere LOG level warning prefix `nat-PREROUTING-'

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.0/8 anywhere
MASQUERADE tcp -- anywhere anywhere tcp dpt:vat
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:exp2
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:http
ACCEPT tcp -- anywhere 10.1.1.1 tcp dpt:ndmp
LOG all -- anywhere anywhere LOG level warning prefix `nat-POSTROUTING-'

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix `nat-OUTPUT-'

Obrigado

Flávio

souzacarlos
(usa Outra)

Enviado em 10/03/2014 - 16:25h

===============================================================================================================
Boa tarde.

Vamos focar nessa parte.

DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6060 to:10.1.1.173:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6059 to:10.1.1.238:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6058 to:10.1.1.159:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6057 to:10.1.1.204:3389
DNAT tcp -- 189.45.199.128/26 anywhere tcp dpt:6056 to:10.1.1.203:3389

Com certeza tem servidores são esses onde os IPs são 10.1.1. alguma coisa:3389

O que vc precisa é tirar essa parte onde vc define a origem "source" 189.45.199.128/26 , caso vc possua um link dedicado em casa vc pode usar teu ip, caso não pode simplesmente remover essa parte com isso qualquer requisições tcp com destino a porta ex 6060 ele vai redirecionar para o ip 10.1.1.171:3389

essa regra ficaria assim já com algumas alterações que julgo pertinentes

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6060 -j DNAT --to 10.1.1.173:3389

"entenda eth0 como a interface que esta ligada a internet"

Outra coisa provavelmente estas regras estão dentro de algum arquivo e estão executando durante o boot, então de nada vai adiantar vc alterar aqui se não alterar na fonte.

Geralmente esses arquivos ficam dentro de /etc/init.d/ isso se tratando de distribuições derivadas do Debian não tenho certeza em relação ao Fedora, talvez tenha um nome como firewall.sh. Você pode fazer uma busca por esse arquivo com o comando find / -name firewall

aguardo.

santosfa123
(usa Fedora)

Enviado em 11/03/2014 - 13:20h

souzacarlos
(usa Outra)

Enviado em 11/03/2014 - 14:20h

===========================================================
Tenta isso.

find /etc/ -type f -exec grep -l "10.1.1.173:3389" {} \;

Provavelmente o arquivo estará em alguma pasta dentro do etc

Obs: Como assim diferente do que eu falei? É exatamente a mesma linha porém, vc não citou a interface e citou a origem "Meu IP Fixo"

Abraço.

santosfa123
(usa Fedora)

Enviado em 11/03/2014 - 14:46h

Obrigado SousaCarlos,

ja executei o comando que vc me enviou. Vou testar nos dias decorrentes e te aviso se deu certo de vez. Cara, desde já agradeço mesmo a ajuda, sempre olhei esse site, mas não imaginava que a solução seria tão rápido. se soubesse, ja tinha me cadastrado antes. valeu mesmo.

Obrigado e Deus te abençoe.

Flávio

souzacarlos
(usa Outra)

Enviado em 11/03/2014 - 15:12h

====================================================
Boa tarde,

Não esqueci de fechar a tópico, e se ajudou não esqueci de marcar como melhor resposta!!!

abraço.

santosfa123
(usa Fedora)

Enviado em 12/03/2014 - 10:16h

Bom dia SouzaCarlos,

Realizei o teste hj de manha de acesso externo , mas não deu certo. Precisei rodar o comando novamente e ai sim consegui acessar. Tem mais alguma carta na manga ?

Obrigado novamente.

Flávio