Liberação acesso IP Externo [RESOLVIDO]

tcforum1
(usa CentOS)

Enviado em 25/06/2014 - 13:36h

Boa Tarde amigos, estou com uma batata quente não não, e a ainda não consegui descobrir o que fazer com ela. rsrsrs

É o seguinte, tenho um programa na minha empresa e ele faz comunicação tcp com um IP externo "200.234.196.163". Para que o programa funcione precisa dessa comunicação.

A saída esta ok, porem tem alguma entrada através desse ip que não esta conseguindo chegar até o programa.

Consegui resolver com o seguinte comando no firewall:
iptables -t nat -A PREROUTING -p tcp -s 200.234.196.163 -j DNAT --to-destination 192.168.1.237

Porem com esse comando, resolve o problema de apenas 1 micro da rede, o com o ip 192.168.1.237, porem os demais continuam com o mesmo problema.

Alguém tem uma solução?

Segue abaixo o meu firewall:

#!/bin/bash
# Interface da Internet:
ifinternet="eth0"
# Interface da rede local
iflocal="eth1"
iniciar(){
echo "Ativando o Firewall e compartilhamento..."

# Carrega os modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_MARK
modprobe ipt_limit
modprobe ipt_tcpmss
modprobe ip_conntrack_irc
modprobe ipt_state
modprobe ipt_multiport


echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter


#iptables -t nat -A PREROUTING -p tcp -s 200.234.196.163 -j DNAT --to-destination 192.168.1.237

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT

#Fecha a porta 80, liberando apenas para acesso ao servidor
#iptables -A FORWARD -p tcp --dport 80 -j REJECT # REGRA PARA PROXY AUTENTICADO
#iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to 3128 #REGRA PARA PROXY TRANSPARENTE


#SSH LOCAL
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 2100 -j ACCEPT

#WTS VIRTUAL
iptables -A INPUT -p tcp --dport 33893 -j ACCEPT
iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 33893 -j DNAT --to 192.168.1.11:3389

#WTS-local
iptables -A INPUT -p tcp --dport 33892 -j ACCEPT
iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 33892 -j DNAT --to 192.168.1.10:3389

#acesso externo unico
#iiptables -A INPUT -p tcp --dport 5432 -j ACCEPT
#iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 5432 -j DNAT --to 192.168.1.11:5432

iptables -A INPUT -p tcp --dport 1100 -j ACCEPT
iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 1100 -j DNAT --to 192.168.1.50

iptables -A INPUT -p tcp --dport 6036 -j ACCEPT
iptables -t nat -A PREROUTING -i $ifinternet -p tcp --dport 6036 -j DNAT --to 192.168.1.50


##### PORTAS E REDIRECIONAMENTOS #####

# Fecha o resto
iptables -A FORWARD -p tcp -i $ifinternet -j LOG
iptables -A INPUT -p tcp --syn -j DROP
echo "Firewall ativado"

#### ACIONAMENTO DE OUTROS PROGRAMAS


}
parar(){
iptables -F
iptables -F -t nat
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac

SK5_RJ
(usa Debian)

Enviado em 25/06/2014 - 15:11h

Olá,
experimentou por para toda a rede?
iptables -t nat -A PREROUTING -p tcp -s 200.234.196.163 -j DNAT --to-destination 192.168.1.0/24


Obs: estou considerando que tua rede seja -->192.168.1.0.

renato_pacheco
(usa Debian)

Enviado em 25/06/2014 - 15:21h

Outra solução, mas seria mais complexa, é autorizando a galera via VPN (OpenVPN). Assim, basta um conectar na VPN q já tem acesso ao serviço solicitado.

tcforum1
(usa CentOS)

Enviado em 10/07/2014 - 09:08h

Como nosso amigo Malheiros-Silva Sugeriu:

iptables -t nat -A PREROUTING -p tcp -s 200.234.196.163 -j DNAT --to-destination 192.168.1.0/24

Esse comando dá erro no iptables, minha rede é sim 192.168.1.0.

E no caso de fazer VPN, não tem como.

Lembrando, o acesso ao sistema é feito de dentro da minha rede local, para esse IP externo, porem tem que fazer essa liberação.

Ainda sem saber o que fazer

Grato!

renato_pacheco
(usa Debian)

Enviado em 10/07/2014 - 09:51h

DNAT não pode ser realizado para uma rede, deve ser apenas para um IP!

Eu ainda não vejo outra solução senão VPN...

renato_pacheco
(usa Debian)

Enviado em 10/07/2014 - 09:53h

Vi uma solução paliativa, mas pode resolver seu problema. Faça uma lista d IPs dessa forma:

for i in $(cat /etc/firewall/lista_ip.txt)

do

iptables -t nat -A PREROUTING -p tcp -s 200.234.196.163 -j DNAT --to-destination $i

done

 

No arquivo txt, vc coloca os IPs desejados linha a linha. Assim dá certo.

tcforum1
(usa CentOS)

Enviado em 24/07/2014 - 14:38h

Sem sucesso, apenas o primeiro ip da lista liberar!

Olhá só, não sei se realmente precisa fazer o DNAT, essa foi uma solução que tive para liberar o software.

Na realidade eles precisam que a comunicação de entrada e saída desse IP externo seja liberada.

tcforum1
(usa CentOS)

Enviado em 25/10/2014 - 08:33h

Bom dia Amigos,

o problema acima foi resolvido, apenas carreguei o módulo FTP no firewall e resolver "modprobe ip_conntrack_ftp"


Como havia comentado, o problema maior é que o suporte técnico do software não sabia como o sistema funcionava realmente.



Grato o apoio de todos