Liberar acesso ao WTS (3389)

BFalcon
(usa OpenSuSE)

Enviado em 29/04/2009 - 17:48h

Olá pessoal!
Tenho um servidor com squid e iptables, e preciso liberar o acesso ao windows terminal server. A minha rede é assim:

Modem: 10.1.1.1
Servidor: eth0 - 10.1.1.2
eth1 - 192.168.1.1
eth2 - 192.168.2.1

O modem está ligado na eth0, e o firewall distribui a conexão pras outras duas redes. A rede 192.168.2.0 tem acesso liberado, e a 192.168.1.0 passa pelo squid. Enfim, preciso acessar a partir de um ip externo a máquina 192.168.1.2, utilizando a conexão remota do windows (porta 3389).
Estou há dois dias pesquisando sobre isso, já olhei diversos tópicos aqui do VOL, mas nada ainda... Já fiz também a liberação do modem, então o problema é no firewall.
Basicamente, o que estou usando é:

# iptables -A INPUT -i eth0 -p tcp --destination-port 3389 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 192.168.1.2:3389
# iptables -A FORWARD -j ACCEPT -p tcp --dport 3389

O que estou fazendo de errado? A ordem como esse script é executado influencia? Preciso liberar algo mais além da porta 3389 tcp?
Desde já, muito obrigado!!

eduardo
(usa Linux Mint)

Enviado em 30/04/2009 - 08:16h

Bom dia amigo,

Eu normalmente utilizo o RELATED,STABLISHED, assim não preciso fazer a liberação de "volta". Se você também utiliza, então está certo. Verifique se antes não algum bloqueio ou se já está sendo utilizada esta porta.

Abraços

BFalcon
(usa OpenSuSE)

Enviado em 30/04/2009 - 17:27h

Olá thedrummer!
Eu tentei as seguintes regras:

# iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
# iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j SNAT --to-source 192.168.1.1:3389
# iptables -A FORWARD -d 192.168.1.2 -i eth0 -o eth0 -p tcp --dport 3389 -m state --state INVALID,NEW,RELATED,ESTABLISHED -j ACCEPT

Essas regras eu achei na net e só adaptei os ips... E ainda não está funcionando o redirecionamento... Por favor, qualquer dica será muito útil! Mais uma vez, obrigado!

eduardo
(usa Linux Mint)

Enviado em 30/04/2009 - 17:42h

Boa tarde,

Eu sempre uso assim.

iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED

Isso faz com todas as conexão que se estabelecerem se mantenham. Ai eu só faço a regra de redirecionamento.


iptables -t nat -a PREROUTING -s ip_do_cara(pode ser em branco) -d teu_ip_da_eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.2
Essa regra joga pra dentro.
iptables -A FORWARD -j ACCEPT -s ip_do_cara -d 192.168.1.2 -p tcp --dport 3389 --syn

É bom colocar o ip de quem acessa (válido) pois assim só libera para ele. Se você não utilizar o RELATED,ESTABLISHED, é necessário fazer as regras inversas para liberar a volta.

Tente monitorar com tcpdump para ver onde está barrando. Pode ser que esteja parando na máquina mesmo.


Abraços

rafinhabds
(usa Debian)

Enviado em 01/05/2009 - 12:23h

Bom dia!
Estou com um problema para liberar POP3 e SMTP no meu iptables, e também estava com esse mesmo problema que vc, não conseguia liberar o WTS, pesquisando, descobri que além das regras de liberação no Iptables, vc tb precisa liberar o roteamento entre as interfaces!
Neste artigo descobri isso:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Correcao-do-Squid-+-Iptables

Acredito que se vc executar essa linha no shell:
echo 1 > /proc/sys/net/ipv4/ip_forward

Estará resolvido o seu problema, caso não... Tente carregar esses módulos:

/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_multiport

Boa sorte!
E se alguém puder me ajudar a liberar o POP3 e SMTP no meu Iptables, vou ficar muito agradecido, já estou com esse problema a semanas!!
Obrigado.

grodriguesq
(usa Slackware)

Enviado em 04/05/2009 - 08:44h

Entrada

#iptables -t nat -A PREROUTING -i $WAN -p tcp --syn --dport 3389 -j DNAT --to-destination $meuservidor_wts:3389

#iptables -A FORWARD -i $WAN -o LAN -p tcp --dport 3389 -j ACCEPT

Saída
#iptables -A FORWARD -s $meuservidor_wts -p tcp --sport 3389 -i $LAN -o $WAN -j ACCEPT



Eu vou levar em conta que vc entende de scripts '$Variavel' corresponde a uma variável que armazena o valor respectivo.