Problema na conexão remota via acesso externo

daripe
(usa Fedora)

Enviado em 26/11/2014 - 18:04h

Pessoal, gostaria de saber se alguém poderia me ajudar. Estou enfrentando problemas onde através de um ip externo, o mesmo não está conseguindo acessar a área remota de uma máquina interna, ou seja, via TS. Já fiz de tudo no firewall do linux e nada. O interessante é que pra algumas máquinas o processo funciona normalmente. Conectando internamente a maquina funciona. Porta interna utilizada 3389. Obrigado.

souzacarlos
(usa Outra)

Enviado em 29/11/2014 - 15:44h

Boa tarde.

Posta a parte do teu código onde vc está tratando essas regras

aguardo.

daripe
(usa Fedora)

Enviado em 01/12/2014 - 07:59h

Boa Dia Carlos, segue abaixo a parte do código onde coloquei as regras. O objetivo é o usuário externo realizar a conexão via TS através do IP Fixo/Porta -> 187.115.24.86:56000 onde o mesmo será redirecionado para a máquina IP Interno 192.168.1.170.

iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 56000

iptables -A FORWARD -d 192.168.1.170 -m state --state NEW -m tcp -p tcp -m multiport --dports 56000 -j ACCEPT

iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 56000 -j DNAT --to-destination 192.168.1.170:3389

OBS: Está nessa mesma ordem no arquivo rc.firewall
$IP_GVT = 192.168.3.10 (IP da placa de rede do Linux que é ligado ao roteador)
Existem outras máquinas que funcionam normalmente.

Se puder me ajudar, ficarei muito agradecido. Obrigado.

souzacarlos
(usa Outra)

Enviado em 04/12/2014 - 15:09h

Vamos lá

Essa aqui não precisa - iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 56000
aqui vamos simplificar por enquanto - iptables -A FORWARD -d 192.168.1.170 -p tcp --dport 56000 -j ACCEPT
aqui vamos manter - iptables -t nat -A PREROUTING -d $IP_GVT -p tcp --dport 56000 -j DNAT --to 192.168.1.170



Agora uma pergunta, como está o POLICE do teu FW? Caso esteja para DROP vc já pensei que é preciso tratar o sentido inverso desta conexão?

aguardo,

daripe
(usa Fedora)

Enviado em 04/12/2014 - 16:16h

Boa Tarde Carlos.

Demorei pra responder devido a problemas na Internet aqui. Vamos lá:

1 - Alterei as 3 linhas conforme você indicou.
2 - Por eu apenas realizar a manutenção básica dessas regras, e não bem pouco conhecimento em Linux, desculpa a ignorância em perguntar, mas o que seria a POLICE do meu FW? Em que local eu possa verificar isso se está para DROP ou não?

Fico no aguardo, obrigado pela atenção.

Danilo

souzacarlos
(usa Outra)

Enviado em 05/12/2014 - 19:22h

Boa noite.

A aplicação Iptables precisa entender como ela tem que analisar as informações por padrão. O padrão do Iptables é ACCEPT ex:

iptables -P INPUT ACCEPT # Aqui diz que tudo que estiver entrando no processo local é para ser aceito e processado

iptables -P OUTPUT ACCEPT # Tudo que estiver saindo
iptables -P FORWARD ACCEPT # Tudo que estiver atravessando

Porém isso pode ser definido para DENY, logo dependendo de como está configurado será preciso criar regras tanto ( INPUT = ENTRADA ) ( OUTPUT = SAÍDA ) (FORWARD = ATRAVESSANDO seu FW )

Como aqui estamos falando de FORWARD caso vc crie uma regra que aceite conexões na porta 3389 em um sentido vc também precisa criar no sentindo oposto.

Existe maneiras para se automatizar isso porém vale primeiro entender como as coisas funcionam.

Aguardo novidades,

daripe
(usa Fedora)

Enviado em 09/12/2014 - 10:15h

Carlos bom dia.

Pelo que percebi essas regras estão como DROP. Enxuguei o minhas regras para lhe mostrar, deixando apenas a máquina que eu consigo conectar (Maquina Danilo - Porta 9026) e a qual eu não estou conseguindo (Acesso Remoto - Porta 56000). Segue abaixo o arquivos das regras que estão no meu rc.firewall:

# Ativacao do Roteamento Dinamico, necessario quanto existem mais de uma faixa de rede na empresa
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P OUTPUT DROP # Libera a politica de Saida de pacotes do servidor
iptables -P INPUT DROP # Libera a politica de Entrada de pacotes do servidor
iptables -P FORWARD DROP # Libera a politica de Encaminhamento de pacotes pelo servidor
iptables -F # Apaga todas as regras do iptables
iptables -t mangle -F # Flush no mangle
iptables -t nat -F # Flush no NAT
iptables -X # Flush nas chains personalizadas
iptables -Z # Flush em todas as regras especificas

modprobe ip_conntrack_ftp # habilita o canal de comunicacao com o FTP
modprobe ip_nat_ftp # permite que a internet enxergue o FTP

IP_GVT=192.168.3.10

NETS=192.168.0.0/16
NET=192.168.1.0/24

# Neste ponto todos os pacotes de INPUT, ou seja, destinados ao servidor, sao descartados.
# Um pacote s¢ ser  aceito se uma regra -A for utilizada depois desta regra.
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -t filter -P INPUT DROP

# Libera a administracao do SARG e do MSN-PROXY pelo Browser de Internet apenas para o administrador da rede
#iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 80 -s $ADM # Esta comentado pois esta liberado para toda a rede

# Libera o SQUID para todas as redes
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 3128 -s $NETS

# DNS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 53 -s $NETS
iptables -t filter -A INPUT -j ACCEPT -p udp --dport 53 -s $NETS

# Libera todo o acesso a interface loopback
iptables -t filter -A INPUT -j ACCEPT -i lo

# Mantem as conexoes estabelecidades e relatadas
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# TS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 3389 #Acesso Remoto

# ACESSO AO SSH DO LINUX PARA CONEXÃO REMOTA
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 22 -s $NETS

# LIBERA O PING PARA MAQUIANS INTERNAS
iptables -t filter -A INPUT -j ACCEPT -p icmp -s $NET

iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9026 #Danilo

# Neste ponto todos os pacotes de OUTPUT, ou seja, que estao saindo de dentro do servidor, sao LIBERADOS
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -P OUTPUT ACCEPT

# Neste ponto todos os pacotes de FORWARD, ou seja, que passam pelo servidor para outro host, sao descartados.
# Um pacote s¢ ser aceito se uma regra -A for utilizada depois desta regra. ( Ricardo 14/03/2010 )
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -t filter -P FORWARD ACCEPT

# Mantem as conexoes estabelecidas e relatadas
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# Encaminha todos os pacotes entre as redes da Assiste
iptables -t filter -A FORWARD -j ACCEPT -s $NETS
iptables -t filter -A FORWARD -j ACCEPT -d $NETS

# Libera conexoes seguras do tipo https
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 443

# Libera acesso para o Servidor Remoto

iptables -A FORWARD -d 192.168.1.151 -m state --state NEW -m tcp -p tcp -m multiport --dports 9026 -j ACCEPT # Maquina do Danilo
iptables -A FORWARD -d 192.168.1.170 -p tcp --dport 56000 -j ACCEPT # Acesso Remotom VM

iptables -A FORWARD -m multiport -p tcp --dport 25000:30000 -j ACCEPT

# Neste ponto sao criadas as regras de NAT
# ----------------------------------------------------------------------------------------------------------------------------------------------------------

iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9026 -j DNAT --to-destination 192.168.1.151:3389 # Maquina do Danilo
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 56000 -j DNAT --to-destination 192.168.1.170:3389 # Acesso Remoto

iptables -t nat -A POSTROUTING -d 192.168.1.3 -j SNAT --to $IP_GVT # Servidor DNS

# NAT para redes internas
iptables -t nat -A POSTROUTING -s $NETS -j MASQUERADE ! -d $NETS


Ficaria muito agradecido se puder me ajudar. Muito Obrigado desde já.

buckminster
(usa Debian)

Enviado em 09/12/2014 - 12:54h

# Libera acesso para o Servidor Remoto

iptables -A FORWARD -p tcp --dport 56000 -j ACCEPT <<< acrescente essa linha e as de baixo nessa posição, reinicie o Iptables e teste.
iptables -A OUTPUT -p tcp --dport 56000 -j ACCEPT
iptables -A INPUT -p tcp --dport 56000 -j ACCEPT

souzacarlos
(usa Outra)

Enviado em 09/12/2014 - 14:29h

---------------------
Buckminster Boa tarde.

A ideia aqui é fazer o cara pensar, não entrega o resultado pronto, pq se não o cara vai resolver o problema e sempre ficar dependente dos outros quando tiver que resolver alguma coisa.

Por ex:

Entender pq ele não precisa dessa regra aqui

# TS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 3389 #Acesso Remoto

Outro ex:

Lá em cima no código ele bloqueia e mais abaixo ele libera

# Neste ponto todos os pacotes de OUTPUT, ou seja, que estao saindo de dentro do servidor, sao LIBERADOS
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -P OUTPUT ACCEPT

# Neste ponto todos os pacotes de FORWARD, ou seja, que passam pelo servidor para outro host, sao descartados.
# Um pacote s¢ ser aceito se uma regra -A for utilizada depois desta regra. ( Ricardo 14/03/2010 )
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -t filter -P FORWARD ACCEPT

A ideia é entender que o código está bagunçado e arrumar

Abraço

daripe
(usa Fedora)

Enviado em 09/12/2014 - 14:50h

Boa tarde a todos.

Primeiramente agradeço a atenção de me ajudar nesse processo.

Infelizmente não tenho conhecimento de Linux, muito menos de regras de firewall.

O que sei, são apenas coisas muitos básicas, que aprendi com o tempo.

A pessoa que cuidado dessa parte saiu da empresa, e tive que aos poucos aprender a dar manutenção nesse Servidor.

Meu cargo é analista de sistemas, por essa razão, sempre quebrei o galho nessa parte de regras do firewall, até o ponto que me reparei com esse problema.

Concordo com o Carlos que a melhor maneira é aprender as regras, e não pegar algo pronto para que eu não posso ficar dependente. Sempre gostei de aprender coisas novas, mas infelizmente dia-a-dia corrido que atualmente estou, não consegui ainda meu aprofundar no aprendizado do Linux. Portanto sendo assim, optei em procurar ajuda nesse fórum. Como de Windows eu possui um conhecimento mais amplo, criei uma VM exclusiva para acesso, com o Windows 2008.

O meu problema é que as regras que estão atualmente, funciona para algumas máquinas e outras não. A minha dúvida maior era exatamente isso, pois mesmo desorganizado, ele funciona pra algumas máquinas e porque outras não funciona, levando a mesma lógica?

Bom se vocês tiverem algum material de apoio, que eu possa aprender essas regras, a montar um novo arquivo, eu agradeceria. No entanto caso eu não consiga fazer esse acesso remoto com essa máquina, precisarei contratar o serviço de alguém especializado em Linux.

No entanto o que puderem me ajudar, seja como for, já estarei agradecido.

daripe
(usa Fedora)

Enviado em 09/12/2014 - 14:53h

Apenas reforçando a resposta anterior, fiz o que o buckminster sugeriu e mesmo assim não tive sucesso.

souzacarlos
(usa Outra)

Enviado em 09/12/2014 - 15:19h

Tranquilo, dá para resolver, vou pegar o código e refazer tudo bem por vc?

Posto aqui amanhã ok?

Uma última pergunta, as máquinas que não funcionam o DNAT estão na mesma rede das que funcionam?