Liberar acesso remoto [RESOLVIDO]

carnauba
(usa Debian)

Enviado em 31/03/2014 - 13:18h

Boa tarde galera do VOL,

Estou com um grande problema, tenho um servidor Debian como Gateway, com firewall e squid, e tenho um servidor win server 2012, preciso liberar o acesso remoto pelo firewall mais não estou conseguindo, tenho um dominio ddns, quando o servidor não fazia o papel do gateway, o acesso era configurado pelo roteador e funcionava tranquilo, preciso da ajuda de vocês com urgência.

souzacarlos
(usa Outra)

Enviado em 31/03/2014 - 13:37h

Boa tarde.

A regra básica para liberar isso é:

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

Vou considerar os seguintes pontos:

1º - ETH0= Interface Conectada a Internet
2º - dport 22 = porta default do serviço SSH
3 - Que sua POLICE default é: INPUT DROP e OUTPUT ACCEPT

Obs: caso sua política para OUTPUT seja DROP então considerar tratar a saída do tráfego

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT


Aguardo,

dimasdaros
(usa Arch Linux)

Enviado em 31/03/2014 - 15:03h

Opa, boa tarde, blz?

Acredito que ele esteja tentando configurar o redirecionamento da porta para o windows.
Se for isso seria mais ou menos assim:



ficaria mais ou menos assim, só trocando o IP no final para o do seu Windows Server (considerando a porta padrão da Conexão Remota do Windows)



Dependendo das suas regras de firewall você pode precisar liberar o acesso do servidor nessas portas também.




Verifica se isso lhe ajuda também.
Grande abraço

souzacarlos
(usa Outra)

Enviado em 31/03/2014 - 15:26h

====================================================

Opa blz...

Hiii cara foi mal, estava respondendo este post e outro ao mesmo tempo e me enrolei. Vc está completamente certo com exceção de:

iptables -I FORWARD -s IP.DO.WINDOWS.AQUI -p tcp --dport 3389 -j ACCEPT que seria:

iptables -I FORWARD -s IP.DO.WINDOWS.AQUI -p tcp --sport 3389 -j ACCEPT

somente a porta de origem ao contrario de porta de destino.

Abraços irmão!!!!

carnauba
(usa Debian)

Enviado em 31/03/2014 - 16:14h

Boa tarde,

fiz tudo que vcs disseram mais ainda nada.

souzacarlos
(usa Outra)

Enviado em 31/03/2014 - 16:32h

Cara boa tarde, posta tuas configurações de rede e também teu script de firewall.

Aguardo

carnauba
(usa Debian)

Enviado em 31/03/2014 - 16:54h

Bom galara deixa eu detalhar melhor a situação pra vocês, antes funcionava da seguinte forma: eu tenho um link dedicado de 10MB full, eu colocava um roteador dlink para fazer o papel do gateway da rede e o linux rodando o debian para jogar o proxy e rodar o squid, fazendo o redirecionamento no próprio rotedor funcionava tranquilo, mas agora que eu mudei, tirei o rotedor e coloquei o linux como gateway, dia começou minha dores de cabeça. Vou postar meu firewall para vcs analisarem.

#!/bin/sh
echo Inicializando regras do firewall...
#Limpando regras do iptables
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Bloqueando Ultrasurf
iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "=UltraSurf="

# Roteamento
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Aceitando trafego de saida eth0 e eth1
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -o eth0 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -o eth1 -j ACCEPT

# Cria a ida e a volta do tráfego
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#iptables -t nat -A PREROUTING -i eth0 -s 192.168.82.100 -d 0/0 -j ACCEPT
#Banco

iptables -A FORWARD -m string --algo bm --string "www.bb.com.br/portalbb/home29,116,116,1,1,1,1.bb" -j ACCEPT

# Libera protocolo ICMP (ping)
iptables -A INPUT -p icmp -j ACCEPT
#conectividade Caixa
iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
#Bloquear a navegacao sem o proxy
iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
#Bloqueio de torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j DROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce" -j DROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j DROP
iptables -A FORWARD -m string --string "get_peers" --algo bm -j DROP
iptables -A FORWARD -m string --string "announce_peer" --algo bm -j DROP
iptables -A FORWARD -m string --string "find_node" --algo bm -j DROP


# Liberar MSN
#iptables -I FORWARD -s 10.0.0.56 -p tcp --dport 1863 -j ACCEPT
#iptables -I FORWARD -s 10.0.0.56 -d loginnet.password.com -j ACCEPT
#iptables -I FORWARD -s 10.0.0.56 -d hotmail.com -j ACCEPT

# Bloquear MSN
iptables -A FORWARD -s 10.0.0.0/24 -d webmessenger.msn.com -j DROP
iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 10.0.0.0/24 -d loginnet.passport.com -j DROP

# Bloquear CHAT gmail
iptables -I INPUT -s chatenabled.mail.google.com -j DROP
iptables -A OUTPUT -d chatenabled.mail.google.com -j DROP
iptables -I FORWARD -s 0/0 -d chatenabled.mail.google.com -j DROP

#IPS fora do proxy
iptables -t nat -I PREROUTING -i eth0 -p tcp -d www.bb.com.br --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -i eth0 -p tcp -d www.caixa.gov.br --dport 80 -j ACCEPT
# Regra para liberar o Proxy
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# Bloquear Bittorrent:
iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 10.0.0.0/24 -j REJECT
iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 10.0.0.0/24 -j REJECT

# Bloquear Limewire:
iptables -A FORWARD -p TCP --dport 6346 -j REJECT

# Bloquear EMULE
iptables -t mangle -I FORWARD -p tcp --dport 4661 -j DROP
iptables -t mangle -I FORWARD -p tcp --dport 4662 -j DROP
iptables -t mangle -I FORWARD -p tcp --sport 4661 -j DROP
iptables -t mangle -I FORWARD -p tcp --sport 4662 -j DROP
iptables -t mangle -I FORWARD -p udp --dport 4671 -j DROP
iptables -t mangle -I FORWARD -p udp --dport 4672 -j DROP
iptables -t mangle -I FORWARD -p udp --sport 4671 -j DROP
iptables -t mangle -I FORWARD -p udp --sport 4672 -j DROP

# Abre para interface loopback
iptables -A INPUT -i lo -j ACCEPT

#Liberar ip e portas caixa

iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 186.203.111.39 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp ! -d 186.203.111.42 --dport 80 -j REDIRECT --to-port 3128


# Forcar o Navegador a usar o Proxy.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Proteje contra IP spoofing:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

echo "Firewall Ativado .............................................................."

Obs: tirei as regras para liberação da porta 3389

souzacarlos
(usa Outra)

Enviado em 31/03/2014 - 17:38h

Boa tarde.

Eu faria tudo novamente do zero!!!! Mas......

Cara na boa vc consegue entender o que vc tem ai?

EX: porque vc tem isso? saberia dizer

# Aceitando trafego de saida eth0 e eth1
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -o eth0 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -o eth1 -j ACCEPT

# Cria a ida e a volta do tráfego
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Antes de responder pense!!! Não estou criticando nem fazendo pergunta sem sentido, estou fazendo uma observação para melhor compreensão do teu script pós sua resposta.


Aguardo,

carnauba
(usa Debian)

Enviado em 04/04/2014 - 08:48h

Bom pessoal depois de muito tentar resolver o problema sem sucesso, resolvi refazer o iptables com calma, mesmo assim agradeço a todos que me ajudaram.

souzacarlos
(usa Outra)

Enviado em 04/04/2014 - 10:20h

============================================
Bom dia

Como assim, vc resolveu?