Saida acesso remoto win03 IPATLES [RESOLVIDO]

fabionocera
(usa Fedora)

Enviado em 01/10/2009 - 11:07h

bom dia amigos,
Acabei de me cadastrar no forum, não sei nem se é aqui que posta duvidas.... se não for me perdoem.

é o seguinte fiz uma arte aqui na empresa coloquei um servidor de internet fedora 11. Configueri o squid e o iptables.

Ta tudo funcionando... Ultra Vnc nas estações windows .... tudo belezinha.

Tenho o servidor de internet linux.... com net virtua com entrada de internet na eth0 e saida para o switch "rede interna" na eth1 .... e temos o servidor windows 2003 de arquivos com ip 192.168.15.99 este servidor windows usa o como gateway a eth1 .... ele navega tudo certinho.

Ontem fui tentar fazer um acesso pela conexao de area de trabalho remoto de minha maquina quando eu digitei o ip externo .... me deparei com o nosso servidor windows 2003 interno .... ele nao se conecta no ip externo ... ele ta jogando para meu proprio server windows 2003.

abaixo segue minha conf. do iptables

Usamos o programa ultraVnc para suporte remoto. montei esta regra com base em pesquisas na net .... não sei se esta certo.... de inicio o unico problema que ocorre é isso que ao tentar conectar em uma maquina de fora me aparece meu server 2003 aqui da empresa. ja o ultra VNC funcionanormalmente .... pelo menos os usuarios não reclamarão.

#!bin/bash

iptables -F

echo 1 > /proc/sys/net/ipv4/ip_forward

## IP DE UM FDP DA CHINA ##
iptables -A INPUT -s 58.248.46.20 -j DROP

## BLOQUEIO EXTERNO ##
#iptables -A INPUT -p tcp -i eth0 --dport 80 -j DROP

## PRAGA MSN ##
iptables -A FORWARD -s 192.168.15.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.15.0/24 -p tcp --dport 5190 -j REJECT

## LIBERA MSN ##
iptables -A FORWARD -s 192.168.15.16/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.15.16/24 -p tcp --dport 5190 -j ACCEPT

## PROXY TRANSPARENTE ##
iptables -t nat -A PREROUTING -s 192.168.15.70/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## ESTABILIZA CONEXAO ##
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED

## LIBERA SAIDA DE ACESSO ## < -- ESTA SERIA REGRA DE SAIDA ACESSO REMOTO QUE TA DANDO PAU --
iptables -A FORWARD -s 192.168.15.99 -p tcp --sport 3389 -i eth1 -o eth0 -j ACCEPT

## LIBERA O TERMINAL SERVICES ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.15.99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.99 -j SNAT --to 192.168.15.70

############################################################
# DIRECIONA AS PORTAS DO ULTRAVNC PARA OS DETERMINADOS IPS #
############################################################

## LIBERA SUPORTE REMOTO FLAVIO - SUPORTE 1 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36015 -j DNAT --to-dest 192.168.15.15
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.15 -j SNAT --to 192.168.15.70

## LIBERA SUPORTE REMOTO MARTA - SUPORTE 2 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36014 -j DNAT --to-dest 192.168.15.14
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.14 -j SNAT --to 192.168.15.70

## LIBERA SUPORTE REMOTO FABIO - SUPORTE 3 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36016 -j DNAT --to-dest 192.168.15.16
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.16 -j SNAT --to 192.168.15.70

## LIBERA SUPORTE REMOTO THIAGO - PROGRAMADOR 1 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36010 -j DNAT --to-dest 192.168.15.10
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.10 -j SNAT --to 192.168.15.70

## LIBERA SUPORTE REMOTO RAFAEL - PROGRAMADOR 2 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36013 -j DNAT --to-dest 192.168.15.13
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.13 -j SNAT --to 192.168.15.70

## LIBERA SUPORTE REMOTO JULIO - PROGRAMADOR 3 ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 36012 -j DNAT --to-dest 192.168.15.12
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.12 -j SNAT --to 192.168.15.70

DESDE JA AGRADEÇO MUITO .

Fabio Nocera

renato_pacheco
(usa Debian)

Enviado em 01/10/2009 - 14:24h

Eu acho q o problema maior tá é nessas regras aki:

## LIBERA O TERMINAL SERVICES ##
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.15.99
iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.99 -j SNAT --to 192.168.15.70

Remova-as e tente d novo. Se vc não conseguir se conectar, já é um bom sinal. A partir dae a gente cria uma regra pra evitar esse problema.

fabionocera
(usa Fedora)

Enviado em 01/10/2009 - 17:04h

Boa tarde brother,

Quer uma boa noticia .... eu comentei as linhas referente a porta 3389 .... e continuo funcionando....
Agora pouco eu constatei eu tenho um notebook aqui com um speedy ligado a um router que vai pro mesmo switch ... e deste notebook eu consigo acessar o nosso servidor pelo ip externo.... ja o mesmo nao ocorre se tentado conectar de dentro pra fora .... ele conecta rapidamente em nosso server 2003.

Agradeço a ajuda,

Fabio

renato_pacheco
(usa Debian)

Enviado em 01/10/2009 - 17:12h

Tente comentar essas linhas (deixando-as assim):

## LIBERA O TERMINAL SERVICES ##
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.15.99
#iptables -t nat -A POSTROUTING -p tcp -d 192.168.15.99 -j SNAT --to 192.168.15.70

E acrescente uma regra, ficando assim:

## LIBERA SAIDA DE ACESSO ##
iptables -A FORWARD -s 192.168.15.99 -p tcp --sport 3389 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.15.99 -p tcp --dport 3389 -i eth0 -o eth1 -j ACCEPT

fabionocera
(usa Fedora)

Enviado em 01/10/2009 - 17:19h

meu querido não foi ....
comentei as regras da porta 3389 e acrescentei as regras informadas ....
dei um sh /etc/rc.d/rc.local e em seguida service squid restart
Ocorre o mesmo problema .... da minha maquina que esta com o gateway eth1 .... coloco o ip externo para acesso remoto .... e abre o meu server 2003 aqui da empresa....
Vai entender.

Mais uma vez agradeço.

Fabio

renato_pacheco
(usa Debian)

Enviado em 01/10/2009 - 17:23h

Tá... pra eu entender melhor:

- Q serviço é esse q vc tá tentando acessar?
- Quais são os IP's, as máscaras e os gateways q estão configurados?
- D q forma vc tá tentando acessar essa máquina (informe o comando para mim)?

fabionocera
(usa Fedora)

Enviado em 01/10/2009 - 17:50h

Ok... vamos lá
1 - é aquela area de trabalho remota do windows ... manja ... tem uns clientes que nós temos o usuario e senha do servidor agente acessa externo.

2 - eth0 --- entrada de internet net virtua coloquei como DHCP.
eth1 -- ip 192.168.15.70/255.255.255.0 rede interna
no servidor de arquivos "server 2003" tem como ip 192.168.15.99/255.255.255.0 com gateway 192.168.15.70.... e nas estações com a mesma faixa de ip 192.168.15.x/255.255.255.0 com gateway 192.168.15.70 e dns primario 200.176.2.10 e sec 200.204.0.10

3 -- eu abro a conexao de trabalho remota e digito o ip fixo do servidor do cliente .... ai ele tem que abrir a maquina do cara remota .... mas ao inves de abrir a maquina do cliente externo.... ta abrindo o nosso proprio server 2003 ip 192.168.15.99....

Se precisar de mais detalhes estou a disposição.

Grato,

Fabio

renato_pacheco
(usa Debian)

Enviado em 01/10/2009 - 17:55h

Eu não sei o pq q tá acontecendo esse redirecionamento, mas o q eu posso dizer é q acesso remoto (d um Windows para o outro) utiliza-se das portas 445 (rpc) e 139 (smb). Dae eu aconselho a acrescentar regras d forward dessas portas pra v se funciona.

fabionocera
(usa Fedora)

Enviado em 01/10/2009 - 17:59h

Essas regras que vc esta me dizendo podem ser escritas com base na regra de liberar msn ?
Sou iniciante na parada não manjo muita coisa.

Obrigado e tenha uma boa tarde amanha eu dou continuidade na parada pq ja to indo embora,

Fabio

renato_pacheco
(usa Debian)

Enviado em 01/10/2009 - 23:34h

Isso... baseado nas regras d msn q vc escreveu. Basta vc trocar a porta, blz?

fabionocera
(usa Fedora)

Enviado em 02/10/2009 - 08:23h

Ola meu amigo fiz o seguinte .... mas infelizmente não deu certo.... quando coloco o ip externo para acesso remoto ele ainda continua entrando no meu server 2003. Eu ia lhe pedir uma gentileza enorme.... sera que teria como vc me ajudar .... estou com ideia de fazer um backup deste rc.local e ... criar outro do nada somente com a regra de proxy transparente....segue abaixo o que eu coloquei

criei uma regra identica a do liberar msn com as 02 portas informadas acima .... no lugar dos ips eu coloquei 192.168.15.0/24 ... ou seja para liberar para toda minha rede .....

OBS: Desculpe se nao tiver nada a ver .... sera que é por causa de proxy transparente ou até mesmo o squid.

Grato,

Fabio

renato_pacheco
(usa Debian)

Enviado em 02/10/2009 - 10:30h

Somente com as regras d redirecionamento e NAT:

#!bin/bash

iptables -F
iptables -t nat -F
iptables -t mangle -F

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.15.70/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Uma coisa q eu percebi q tá errada é na hora d vc aplicar o FORWARD. A gente tem q colocar o destino e não a origem. Tipo assim:

iptables -A FORWARD -d 192.168.15.99 -p tcp --dport 3389 -i eth1 -o eth0 -j ACCEPT

E o DNAT, para liberar dentro do NAT (acrescentando a porta d destino):

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.15.99:3389