Libera porta 3389 não funciona

1. Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 20/04/2010 - 17:43h

Olá, necessito de uma ajuda de vcs, numa questão que não consigo entender.
Montei um servidor Debian para compartilhar a internet com Squid e algumas regras do Iptables não estão funcionando, uma delas é o redirecionamento de portas de externo para interno. Se eu mudo a ethX na opção de mascara da rede colocando de eth1 para eth0 funciona o redirecionamento para a porta 3389 (externo para interno) em compenssação ele bloqueia as portas para saida (todas elas, menos a 3128) e se eu mudo de eth0 para eth1 consigo liberar as portas internas, porem o redirecionamento para 3389 não funciona. Não sei mais o que fazer.
Na eth0 tá a placa de rede local
Na eth1 está a conexão com o Roteador (Link de internet da Telefonica)

Abaixo está o script q montei:

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpando as tabelas
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Macarando conexões da rede
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Roteamento entre filiais
route add -net 10.5.2.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.3.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.4.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.5.0 netmask 255.255.255.0 gw 10.5.1.1

# Liberando acesso total a servidores
# Servidor Red Hat Banco de Dados
iptables -A FORWARD -s 10.5.1.4 -j ACCEPT
iptables -A FORWARD -d 10.5.1.4 -j ACCEPT

# Redirecionamento ao TS
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT
iptables -A INPUT -p udp --destination-port 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-dest 10.5.1.11:3389
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.5.1.11 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 3389 -j DNAT --to-dest 10.5.1.11:3389
iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 10.5.1.11 -j ACCEPT

# Bloqueando acesso geral a sites que não for pelo Squid
iptables -A FORWARD -s 10.5.1.0/24 -p tcp -m tcp --dport 80 -j DROP

0 0

Quote

2. Re: Libera porta 3389 não funciona

renato_pacheco
(usa Debian)

Enviado em 20/04/2010 - 17:57h

Troque o eth1 da regra PREROUTING para eth0...

0 0

Quote

3. Re: Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 20/04/2010 - 18:16h

Mas ai que tá Renato, qdo eu faço isso, ele aceita de boa, mas a rede bloqueia todas as portas, mesmo eu liberando ela (um exemplo, a 587 smtp) o programa não funciona e do jeito que tá o script acima funciona
E na regra onde tá a porta 3389 já testei colocando eth0 inves de eth1 e não funfou tbm.

0 0

Quote

4. Re: Libera porta 3389 não funciona

renato_pacheco
(usa Debian)

Enviado em 20/04/2010 - 23:03h

Tá, c tem q trocar aquela regra q t falei e tb as outras regras d FORWARD para -o eth0 -i eth1

0 0

Quote

5. Re: Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 22/04/2010 - 07:39h

Assim funfou, mas bloqueou todas as portas que preciso...

0 0

Quote

6. Re: Libera porta 3389 não funciona

renato_pacheco
(usa Debian)

Enviado em 22/04/2010 - 09:40h

Bloqueou todas as portas q necessita? Hum... vc postou todas as regras ou postou apenas algumas partes?

0 0

Quote

7. Re: Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 22/04/2010 - 10:01h

Foi tudo
na realidade só quero bloquear a 80, pq vou liberar isso em 4 servidores terminal service que temos, porem é para sair todas as portas, menos a 80 para o pessoal não acessar a internet.

Quem nem nesse exemplo:
# Bloqueando acesso geral a sites que não for pelo Squid
iptables -A FORWARD -s 10.5.1.0/24 -p tcp -m tcp --dport 80 -j DROP

Ai se na opção de mascarar a rede colocar eth1, funciona direitinho a questão das portas, porem não funciona o redirecionamento, mas se eu coloco eth0 funciona o redirecionamento, porem bloqueia todas as portas

0 0

Quote

8. Re: Libera porta 3389 não funciona

renato_pacheco
(usa Debian)

Enviado em 22/04/2010 - 11:35h

Então inclua políticas de acesso logo após o flush das regras (iptables -F e afins):

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

0 0

Quote

9. Re: Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 23/04/2010 - 07:22h

Não funcionou Renato...
Tá na mesma, bloqueia todas as portas...

0 0

Quote

10. Re: Libera porta 3389 não funciona

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 08:26h

Tire essa regra pra v se vai, pra testar msm:

iptables -A FORWARD -s 10.5.1.0/24 -p tcp -m tcp --dport 80 -j DROP

0 0

Quote

11. Re: Libera porta 3389 não funciona

spotinick
(usa Debian)

Enviado em 23/04/2010 - 08:34h

Não foi tbm, olha como está o script:

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpando as tabelas
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Liberando Acessos
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

# Macarando conexões da rede
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Roteamento entre filiais
route add -net 10.5.2.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.3.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.4.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.5.0 netmask 255.255.255.0 gw 10.5.1.1

# Liberando acesso total a servidores
iptables -A FORWARD -s 10.5.1.4 -j ACCEPT
iptables -A FORWARD -d 10.5.1.4 -j ACCEPT
iptables -A FORWARD -s 10.5.1.21 -j ACCEPT
iptables -A FORWARD -d 10.5.1.21 -j ACCEPT

# Redirecionamento ao TS
iptables -t nat -A PREROUTING -d 189.20.XXX.XX -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.5.1.11:3389

0 0

Quote