Libera porta 3389 não funciona

fbsalvi
(usa Outra)

Enviado em 23/04/2010 - 09:29h

Ola, dei uma olhada no seu iptables, favor tente colocar essa linha no final do seu script:
#
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT
iptables -A INPUT -p udp --destination-port 3389 -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 3389 -j ACCEPT
iptables -A FORWARD -p udp --destination-port 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -d <ip valido> --dport 3389 -j DNAT --to-dest 10.5.1.11:3389
iptables -t nat -A PREROUTING -i eth1 -p udp -d <ip valido> --dport 3389 -j DNAT --to-dest 10.5.1.11:3389

# Macarando conexões da rede
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Teste com o input, mas creio que somente o forward ja ajuda.

Faça o teste e qq. coisa poste aki.

Fabiano.

spotinick
(usa Debian)

Enviado em 23/04/2010 - 10:57h

Poxa, acho q eu não to sabendo relatar o meu problema.

é assim, se deixo dessa forma:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Ele libera as portas, porem não faz o redirecionamento

se eu deixar assim:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Ele faz o redirecionamento, mas bloqueia as portas

Das duas formas a internet funciona porem se colocar de um jeito, bloqueia as portas mesmo liberando elas com alguma regra qq com ACCEPT e da outra forma as portas são liberadas e consigo bloquear a que eu quiser, porem não faz o redirecionamento. Entendeu?

spotinick
(usa Debian)

Enviado em 23/04/2010 - 11:02h

Fala Fabiano, não foi tbm...
Cara, que treta tá isso...
Ajuda se eu disser que a eth1 tá com ipfixo da telefonica e eth0 tá com ip da minha rede?

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 11:21h

Então faça assim:

- Mantenha o seu mascaramento assim:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

- E altere o redirecionamento, dessa forma:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 10.5.1.11
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-destination 10.5.1.11

spotinick
(usa Debian)

Enviado em 23/04/2010 - 12:57h

Não funfou tbm...

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpando as tabelas
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

# Macarando conexões da rede
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Roteamento entre filiais
route add -net 10.5.2.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.3.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.4.0 netmask 255.255.255.0 gw 10.5.1.1
route add -net 10.5.5.0 netmask 255.255.255.0 gw 10.5.1.1

# Liberando acesso total a servidores
iptables -A FORWARD -s 10.5.1.4 -j ACCEPT
iptables -A FORWARD -d 10.5.1.4 -j ACCEPT
iptables -A FORWARD -s 10.5.1.21 -j ACCEPT
iptables -A FORWARD -d 10.5.1.21 -j ACCEPT

# Redirecionamento ao TS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 10.5.1.11
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-destination 10.5.1.11

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 13:05h

Esquisitíssimo! Como q tá a sua tabela d rota?

# route -n

E como tá configurada as interfaces d rede?

# ifconfig

spotinick
(usa Debian)

Enviado em 23/04/2010 - 13:18h

O interfaces está assim:
auto lo
auto eth0
auto eth1
iface lo inet loopback

iface eth0 inet static
address 10.5.1.80
netmask 255.255.255.0
network 10.5.1.0
broadcast 10.5.1.255
gateway 10.5.1.1
dns-nameservers 10.5.1.1

iface eth1 inet static
address 189.20.XXX.XX
netmask 255.255.255.248
network 189.20.245.0
broadcast 189.20.XXX.255
gateway 189.20.XXX.XX
dns-nameservers 200.153.0.68

E o route -n:

SRV-PRoxy:~# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
189.20.XXX.XX 0.0.0.0 255.255.255.248 U 0 0 0 eth1
10.5.5.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.4.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.5.3.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.2.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 189.20.XXX.XX 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 10.5.1.1 0.0.0.0 UG 0 0 0 eth0

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 13:25h

Ae tem um esquema estranho... como q o seu IP da eth0 é 10.5.1.80, sendo q o gateway principal dessa rede é 10.5.1.1? Como q tá montada essa rede? Em qual local esse servidor se encontra?

spotinick
(usa Debian)

Enviado em 23/04/2010 - 13:54h

Então Renato, coloquei ele como IP 80 para testar e colocar ele em produção, já tenho um rodando, mas tá como os mesmos erros, esse aqui tá rodando em outro link que tenho para testes...
O gateway 10.5.1.1 é o ip do roteador daqui de SP, pois tenhos outros em outras filiais. (esquema do route add -net xxxxxx)
Se eu colocar ele como proprio gateway?

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 14:01h

O lance é: as requisições da Internet estão vindo desse roteador ou do acesso direto (eth1)? Pra vc tirar d kbça, retire o gateway padrão da eth0 (10.5.1.1) pra vc t certeza disso. Acredito q as filias não pararão pq vc estabeleceu a rota padrão pra cada rede q vc pôs. Faça esse teste q eu tenho quase certeza q irã funcionar.

spotinick
(usa Debian)

Enviado em 23/04/2010 - 14:15h

Nada feito, vou chutar esse micro rs

Usei o route -n para te mostrar:

SRV-PRoxy:~# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
189.20.XXX.XX 0.0.0.0 255.255.255.248 U 0 0 0 eth1
10.5.5.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.4.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.5.3.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
10.5.2.0 10.5.1.1 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 189.20.XXX.XX 0.0.0.0 UG 0 0 0 eth1


Usei tbm um comando que vc me ensinou uma vez e deu um erro:

SRV-PRoxy:~# route del default gw 10.5.1.1
SIOCDELRT: Processo inexistente

renato_pacheco
(usa Debian)

Enviado em 23/04/2010 - 14:25h

Num tem jeito d vc modificar a rede da eth0 não? Tipo, em vez d 10.5.1.x, faça 192.168.0.x só pra testar. Talvez esteja dando conflito na rede já existente.