Redirecionamento da porta 23 [RESOLVIDO]

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 10:39h

Olá galera.. to com um probleminha aqui..

A situação é a seguinte.. eu preciso redirecionar o tráfego que chegue na porta 10010 no meu firewall para um ip da rede interna na porta 23 (o software usa essa porta para conexão)

Adicionei a seguinte regra no meu script de firewall:
iptables -t nat -A PREROUTING -p tcp --dport 10010 -i eth0 -j DNAT --to IP_REDE_INTERNA:23
porém nao esta acontecendo o redirect..

Eu tentei fazer esse mesmo redirect só que na porta do Terminal Server do Windows e foi..
Minhas possibilidades estão se esgotando..

Alguma idéia???

Valeu!!!

FireBird
(usa Debian)

Enviado em 04/04/2008 - 11:04h

iptables -t nat -A PREROUTING -s <ip da onde vem o acesso ou entao 0/0> -m tcp -p tcp -i eth0 --dport 23 -j DNAT --to-destination <ip q vai receber o acesso e nao precisa colocar a porta (:23) pq ele direciona direto>

falow

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 11:09h

Simplesmente não vai... dando um telnet IP_EXTERNO ele não redireciona.... diz que nao foi possível estabelecer conexão com o host na porta 23.... e como falei pra qualquer outra porta de destino vai... menos a 23 que é a qual preciso...

Mais alguma idéia?

PS: O serviço esta funcionando na rede interna....testei já...

marlonreck
(usa Fedora)

Enviado em 04/04/2008 - 11:17h

Bom dia amigos

Primeiro vc faz o DNAT :
iptables -t nat -A PREROUTING -p tcp --dport 10010 -i eth0 -j DNAT --to IP_REDE_INTERNA:23

e depois libera o FORWARD:
$IPTABLES -A FORWARD -p tcp -s 0/0 -d IP_REDE_INTERNA --dport 23 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 0/0 -s IP_REDE_INTERNA --sport 23 -j ACCEPT

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 11:25h

Ainda não ta indo... o sistema que ta rodando é um AS/400. alguem ja ouviu falar disso? hehehe...

Mais palpites serão bem vindos.. enquanto isso continuo pesquisando..

Valeu!!!

elgio
(usa OpenSuSE)

Enviado em 04/04/2008 - 11:26h

Se cliente e destino estiverem na mesma rede, não rola.

Exemplo:
cliente 192.168.0.56
gw 192.168.0.1

servidor: 192.168.0.100
gw 192.168.0.1

Cliente se conecta na porta 1100 de 192.168.0.1, 192.168.0.1 faz DNAT para 192.168.0.100 na porta 23. 192.168.0.100 da porta 23 responde DIRETO para 192.168.0.56 que DROPA a conexao.

Eu expliquei melhor este efeito em:
http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=40&codtopico=11748

Em outro tópico, que não achei agora, tem uma possível solução que envolve fazer DUPLO nat.

CLARO, SE ESTE NÃO FOR O TEU CENÁRIO, me avisa que penso em outros motivos

FireBird
(usa Debian)

Enviado em 04/04/2008 - 11:28h

tem uma treta errada... eu acabei de fazer aqui na minha maquina ligada no meu notebook e funfou...

tem um treco errado ai...

o serviço ta ativo? e vc tentrou a regra do forward que o amigo acima citou?

quais sao suas politicas de firewall?

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 11:29h

Deixa eu ver se consigo te explicar... o pessoal precisa se conectar de fora nesse servidor...
No meu firewall tenho 2 interfaces:
eth0 - ip valido
eth1 - rede interna

Eles vão se conectar via telnet nesse servidor que ta na rede interna... então coloquei que quando dessem um telnet na porta 10010 no ip valido do firewall ele jogasse pro servidor da rede interna...

Só que não ta rolando...

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 11:31h

tentei as regras de forward sim... e não deu certo do mesmo jeito... o que to achando mais estranho é que ele só não ta redirecionando na porta 23... em qualquer outra porta de qualquer outro serviço da rede interna vai...

elgio
(usa OpenSuSE)

Enviado em 04/04/2008 - 11:34h

E não tem uma outra regra antes que esteja BLOQUEANDO a porta 23 ou que libere algumas, excluindo a 23?

Tu estas trocando no PREROUTING, logo o pacote ainda pode ser bloqueando no MESMO PREROUTING, em regra anterior, no FORWARD ou ainda no POSTROUTING, se tiver alguma coisa lá. Investica.

Talvez simplesmente inserindo com -I resolva

marlonreck
(usa Fedora)

Enviado em 04/04/2008 - 11:35h

Amigos

O serviço e a porta estão ativos e liberados no servidor destino?
Na politica do firewall esta liberada o telnet porta 23?

matheus.silva
(usa Debian)

Enviado em 04/04/2008 - 11:38h

NO servidor da rede interna ele está ativo sim... tanto que por telnet no ip interno ele conecta...