Iptables + Windows Server 2008 - Acesso remoto não funciona [RESOLVIDO]

mrockfeller
(usa Ubuntu)

Enviado em 23/07/2012 - 15:36h

Boa tarde.

Temos um firewall onde tenho duas placas de rede:

eth0 -> placa de rede na faixa IP local (conectado no switch); Fictício 192.168.0.1
eth2 -> placa de rede na faixa do modem (onde o modem está conectado); Fictício 10.0.0.1

Temos um serviço cadastrado no NO-IP para acesso remoto; -> Fictício dominio.no-ip.biz

O modem foi configurado para conectar-se automaticamente (PPPoE = Auto).
O serviço NAT do modem está ativado. Dentro de Nat está configurado um acesso em "Virtual Servers" do tipo "Windows Server" com as portas padrões (3389) para TCP e UDP.

A internet funciona corretamente. Porém, o acesso remoto não está funcionando de conexões externas... Apenas quando eu tento fazer a conexão remota da rede interna, com o domínio.no-ip.biz funciona. O iptables está configurado assim:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389;
iptables -t nat -A PREROUTING -i eth2 -p udp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389;
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389;
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-destination 192.168.0.10:3389;
iptables -t nat -A POSTROUTING -p all -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -p all -o eth2 -j MASQUERADE;
echo 1 > /proc/sys/net/ipv4/ip_forward;

Nota: Se eu digito no browser: dominio.no-ip.biz o mesmo caí na configuração do meu modem. Ou seja, o serviço no-ip está funcionando corretamente. O problema é que o iptables não está redirecionando o acesso externo pra dentro do meu servidor Windows Server 2008 (192.168.0.10).

A minha versão do linux no firewall é "Ubuntu 11.10".

Por favor, se alguém puder me ajudar, ficarei muito grato.

At.te:

Marcio

phrich
(usa Slackware)

Enviado em 28/07/2012 - 10:43h

O iptables segue uma ordem, então vamos organizar isto:

# Habilita o roteamento e compartilha a internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -p all -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -o eth2 -j MASQUERADE

# Redireciona o tráfego da porta 3389 para o seu server 2008
iptables -t nat -A PREROUTING -i $SUA_INTERFACE_INTERNET -p tcp --dport 3389 -j DNAT --to 192.168.0.2:3389

# Cria a ida e a volta do tráfego
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Libera a porta 3389
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT



No seu modem, você precisa liberar esta porta, você tem 2 formas:

1 - Redirecione a porta 3389 para o seu server 2008

ou o mais recomendado

Habilite o DMZ para o seu firewall, assim, todas as portas estarão abertas no modem / roteador e o seu iptables controla tudo.

Testa ai e depois nos conte ok?

mrockfeller
(usa Ubuntu)

Enviado em 30/07/2012 - 10:08h

Bom dia. Obrigado pela resposta. Faltava um detalhe que não me atentei.
No modem, o NAT para WINDOWS SERVER tinha que apontar para o IP do Firewall uma vez que a interface de rede interna esta em outra faixa de IP (Firewall tem duas placas de redes com faixas de IP's distintas). E o Iptables redireciona para os endereços internos.

Agradeço pela resposta.

At.te:

Marcio

mcardoso
(usa Ubuntu)

Enviado em 12/09/2012 - 12:00h

Pessoal, como faço pra configurar o iptables em minha rede? Tenho um server 2008 furado sem proteção nenhuma...

tenho o meu modem(gvt)distribuindo ip para o switch e o switch distribuindo ips para as estações, até ai tudo normal...

tenho um máquina simples com duas placas de rede com ubuntu server...

Preciso de uma luz, por onde começo tudo isso?

abraços