Como acessar um redirecionamento externo de dentro da rede local

dvdalencar
(usa Debian)

Enviado em 21/03/2017 - 17:35h

Olá,
Tenho um serviço interno que é publicado para a internet e quero acessar pelo ip da WAN e não pelo ip interno da máquina, que regra ou procedimento devo aplicar?

Para acessar de fora usei as seguintes regras:
iptables -t nat -A PREROUTING -p TCP -d $IPEXTERNO --dport 80 -i eth1 -j DNAT --to 192.168.1.4:80
iptables -A FORWARD -p TCP -d 192.168.1.4 --dport 80 -j ACCEPT

R3nan
(usa Debian)

Enviado em 21/03/2017 - 17:44h

as regras que vc mandou estão corretas, eu ate removeria o -i eth1 e deixaria conforme abaixo, se não funcionar, provalvmente o seu provedor de acesso está bloqueando a porta 80 na roteador de borda, ai vc pode tentar mudar pra 8080 ou qualquer outra porta deixando a assim iptables -t nat -A PREROUTING -p TCP -d $IPEXTERNO --dport 8080 -j DNAT --to 192.168.1.4:80

iptables -t nat -A PREROUTING -p TCP -d $IPEXTERNO --dport 80 -j DNAT --to 192.168.1.4:80

iptables -A FORWARD -p TCP -d 192.168.1.4 --dport 80 -j ACCEPT

 

dvdalencar
(usa Debian)

Enviado em 22/03/2017 - 10:06h

De fora da minha rede eu consigo acessar este meu servidor através do endereço externo (177.8.x.x), porém de dentro da rede só consigo acessar através do endereço interno(192.168.1.4), quando tento acessar pelo endereço externo aparece a seguinte mensagem no navegador:

Forbidden
You don't have permission to access / on this server.
___________________________________________
Apache/2.2.9 (Debian) Server at 177.8.x.x Port 80

Tenho também a seguinte regra no script de firewall:
iptables -A PREROUTING -t nat -i $intint -s $intnet -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde:
intint="eth0" #Interface Interna
intnet="192.168.1.0/24" #Rede Interna

Será que é essa regra que barra? essa regra é do proxy, correto?

PS: Fiz a modificação que você sugeriu, removi o "-i eth1", porém mesmo assim não funcionou... falta testar a mudança de porta para 8080.

R3nan
(usa Debian)

Enviado em 22/03/2017 - 10:12h

pela mensagem

Forbidden
You don't have permission to access / on this server.
___________________________________________
Apache/2.2.9 (Debian) Server at 177.8.x.x Port 80

a regra está funcionando, o que vc precisa verificar é as configurações virtual host do apache ele é quem deve estar bloqueando o acesso.

dvdalencar
(usa Debian)

Enviado em 22/03/2017 - 14:14h

No endereço abaixo, foi feito um tutorial explicando exatamente como fazer este acesso, Porém é feito no "Endian":

https://itbr.org/phpbb3/viewtopic.php?t=487

No tutorial ele explica que:
1º - Você deve criar uma regra de DNAT
2º - Você tem que criar uma regra de SNAT

Esta regra (iptables -t nat -A PREROUTING -p TCP -d $IPEXTERNO --dport 80 -i eth1 -j DNAT --to 192.168.1.4:80) seria o DNAT?
E como ficaria a regra do SNAT no Iptables ?

R3nan
(usa Debian)

Enviado em 22/03/2017 - 14:24h

no seu caso pelo que percebi, vc so precisa da regra de dnat (regra de destino). veja esse link https://www.vivaolinux.com.br/dica/Redirecionammento-de-portas-com-iptables-e-SNAT

e como eu disse anteriormente vc ja está chegando na maquina com o apache rodando, tanto que ele te mostra a versão do apache, a não que a maquina que está como link de internet tb tenha um apache rodando nela, esse caso se tiver apare o apache dela e veja se ainda da o mesmo erro.

dvdalencar
(usa Debian)

Enviado em 22/03/2017 - 14:36h

O Apache está instalado no meu servidor principal (Meu Gateway) , é o que faz a conexão da minha rede interna com a internet, é nesse servidor que também roda o script de firewall....o computador com ip 192.168.1.4 é outra máquina, é um Windows com o IIS.

R3nan
(usa Debian)

Enviado em 22/03/2017 - 14:50h

então está ai o problema, o seu gateway já está usando a porta 80 para o seu ip externo, vc vai ter que usar outra porta por ex. 8080 como eu disse em outras mensagens ou parar o apache no seu gateway para testar, ou ainda usar um proxy reverso. que é outra alternativa.

dvdalencar
(usa Debian)

Enviado em 22/03/2017 - 15:58h

R3nan, quero agradecer por toda atenção e suporte prestado... Adicionei a regra de SNAT (iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.4 --sport 80 -j SNAT --to 177.8.x.x) com base no link que você enviou, porém continua não funcionando.
Com relação ao APACHE, parei o serviço, e ao acessar apresenta a seguinte mensagem:

Na tentativa de recuperar a URL: http://177.8.x.x

O seguinte erro foi encontrado:

Falha na conexão
O sistema retornou:
(111) Connection refused
O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.

Generated Wed, 22 Mar 2017 18:46:27 GMT by srvdebian.empresa.com.br. (squid/2.7.STABLE3)

Sobre a Porta 80, eu consigo acessar este serviço de fora da rede, isso significa que o Site está funcionando mesmo estando na porta 80, só não funciona quando o acesso a URL: http://177.8.x.x é feito de dentro da rede interna.

No link que você enviou sobre o SNAT, o 3º comentário(feito pelo srf) é exatamente a minha dúvida, o reng.unip respondeu que a solução seria instalar e configurar um DNS para rede interna. Será que somente assim pra resolver?

R3nan
(usa Debian)

Enviado em 22/03/2017 - 16:27h

putz, agora que eu intendi, vc quer acessar estando na rede interna, um servidor interno, usando o ip externo ? é isso? se é só usando dns interno mesmo, ou inserindo manualmente o ip no arquivo hosts, alias o dns é para nomes vc nao prefere acessar o site por um nome? ao invés do ip ?

acessar do jeito que vc quer, acho que é impossivel, mesmo pq não faz sentido, se vc está na rede interna é só usar o ip do servidor interno.

dvdalencar
(usa Debian)

Enviado em 22/03/2017 - 16:50h

putz, agora que eu intendi, vc quer acessar estando na rede interna, um servidor interno, usando o ip externo ? é isso?
SIM É EXATAMENTE ISSO :)
se é só usando dns interno mesmo, ou inserindo manualmente o ip no arquivo hosts,
COMO EU FAÇO ESTA CONFIGURAÇÃO NO ARQUIVO HOSTS?
ESSE "HOSTS" É O DO MEU SERVIDOR(GATEWAY) OU É O DA MÁQUINA CLIENTE(MÁQUINA DE ONDE VAI PARTIR O ACESSO)
alias o dns é para nomes vc nao prefere acessar o site por um nome? ao invés do ip ?
NA VERDADE EU JÁ CONSIGO ACESSAR DE FORA USANDO O NOME(suporte.empresa.com.br) AO INVÉS DO IP. (ADICIONEI UMA ENTRADA DE DNS APONTANDO PARA O MEU IP PUBLICO, ISSO NO LOCAL ONDE ESTÁ HOSPEDADO O SITE DA EMPRESA.)

R3nan
(usa Debian)

Enviado em 22/03/2017 - 16:57h

no caso de usar o arquivo hosts vc tem que configura na maquina cliente, uma por uma, ou como vc mesmo mencionou, implantar um servidor dns interno.

para usar o arquivo hosts vc tem que editar:
cliente linux arquivo /etc/hosts e colocar dentro dele
192.168.1.4 suporte.empresa.com.br

cliente windows arquivo c:\windows\system32\drivers\etc\hosts e dentro dele mesma coisa
192.168.1.4 suporte.empresa.com.br

dai vc vai conseguir acessar pelo navegador usando o http://suporte.empresa.com.br