VPN cliente acessar rede interna [RESOLVIDO]

Junior_CvZ
(usa Ubuntu)

Enviado em 11/06/2013 - 14:50h

E ai galera beleza...
Estou com um problema aqui na minha empresa, fiz um firewall onde esta funcionando tudo legal, barrando o que preciso e liberando as necessidades aqui da empresa, porem ele esta com um problema para acessar pasta compartilhada de um Windows Server 2003 e do meu sistema interno que é Linux (Samba) quando a comunicação vem pela vpn, o firewall só barra o acesso a pasta ele diz que o caminho não foi localizado(maquina windows no cliente vpn que quer acessar o servidor), porem consigo pingar em ambas as maquinas normalmente. Na rede local onde esta o servidor funciona normal acesso a pasta e ping.
Uma observação, os clientes vpn somente não acessam estas duas maquinas, as outras maquinas na rede do servidor acessa normal tanto WinXP e Win7, pasta, impressora e ping.
Segue abaixo meu firewall para darem uma analisada, caso acham algum problema de por que esta barrando a comunicação.
Desde já agradeço a ajuda de todos.

#!/bin/bash
#Shell Script - Firewall
#========================

#######################################
# FIREWALL #
#######################################

#IP da rede Interna
NETWORK=192.168.210.0/24

#Interface da rede local - LAN
ILAN=eth0

#Interface da rede Externa - Internet
INET=eth1

#Interface da VPN
IVPN=tap0

IPT=/sbin/iptables

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_MASQUERADE

INTERNET ()
{
#Mascaramento
iptables -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IVPN -s $NETWORK -j MASQUERADE


#Ativando redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
}

LIMPAR ()
{
#Removendo Regras
iptables -F
iptables -t nat -F
iptables -t mangle -F

#Apagando chains
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Zerando controladores
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
}
PARAR ()
{
#Limpando Regras
LIMPAR

#Politica Padrão
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Compatyilando a Internet
INTERNET
}

INICIAR ()
{
#Limpando regras
LIMPAR

#Politica Padrao
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Compatilhando a Internet
INTERNET


#######################################
# ATRIBUINDO SEGURANCA #
#######################################

#Protecao contra SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#Rejeitar requizicao de ICMP Echo destinado a Broadcast e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Ignorar mensagens falsas de icmp_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do
# Não Redirecionar Mensagens ICMP
echo 0 > $i/accept_redirects

#Protecao contra ataques de IP Spoofing
echo 0 > $i/accept_source_route

#Permitir que pacotes Forjados sejam logados pelo proprio kernel
echo 1 > $i/log_martians

#Verificar endereco de Origem do Pacote ( Protecao a ataques IP Spoofing)
echo 1 > $i/rp_filter

done

#######################################
# REGRAS DO SERVIDOR #
#######################################

#Apache - Servidor Web
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

#Apache TomCat - Servidor Web
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

#Bind9 - Servidor DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT

#DanGuardian - Servidor Proxy
iptables -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT

#DHCP - Servidor DHCP
iptables -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT

#NFS - Servidor NFS
iptables -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT

#ProFTP - Servidor FTP
#iptables -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT

#PostFix - Servidor de E-mail
#iptables -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT
#iptables -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT

#Squid - Servidor Proxy
iptables -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT

#SSH - Servidor SSH (Acessar servodor SSH Interno, conexões de fora e dentro da rede)
iptables -A INPUT -p tcp --dport 5522 -m state --state NEW -m recent --update --seconds 300 --hitcount 10 -j DROP
iptables -A INPUT -p tcp --dport 5522 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 5522 -j ACCEPT

#VNC - Servidor de Acesso Remoto
#iptables -A INPUT -p tcp --dport 4899 -j ACCEPT

#VPN - OpenVpn
iptables -t filter -A INPUT -p udp --dport 1195 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 1195 -j ACCEPT

#PING
iptables -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT

#Webmin - Gerenciador de Web de Servidor
#iptables -A INPUT -i $ILAN -p tcp --dport 1000 -j ACCEPT

#SAMBA - Servidor de Diretorios Microsoft
iptables -A INPUT -i $ILAN -p tcp -m multiport --dport 445,139 -j ACCEPT
iptables -A INPUT -i $ILAN -p udp -m multiport --dport 137,138 -j ACCEPT

#######################################
# REGRAS PARA SERVICOS #
#######################################

#HTTPS Seguro - Bloqueio de Sites HTTPS
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "orkut.com" -j DROP

#DNS - Servico de Nomes de Dominios
iptables -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT

#HTTPS - Protocolo de Tranferencia de Hypertext Seguro
iptables -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT

#MSNMS - Servico de Mensageiro de Rede da Microsoft
iptables -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT
iptables -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT

#NTP - Protocolo para sincronizacao dos relogios
iptables -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT

#Ping
iptables -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT

#POP3 - Protocolo de Correio
iptables -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT

#POP3S - Protocolo de Correio Seguro
iptables -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT

#RDP - Protocolo de Area de Trabalho Remota
iptables -A FORWARD -o $INET -p tcp --dport 3389 -j ACCEPT

#SSDP - Protocolo para Descoberta de Servicos Simples
iptables -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT

#SSH - Shell Seguro (Acessar servidor SSH externo, fora da rede local)
iptables -A FORWARD -o $INET -p tcp --dport 5522 -j ACCEPT

#SMTP - Protocolo Simples para Transferencia de Correio
iptables -A FORWARD -o $INET -p tcp --dport 587 -j ACCEPT

#SSMTP - Protocolo Simples para Transferencia de Correio Seguro
iptables -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT

#Radmin - Computacao em Rede Virtual
iptables -A FORWARD -o $ILAN -p tcp --dport 4899 -j ACCEPT
iptables -A FORWARD -o $INET -p tcp --dport 4899 -j ACCEPT

#Liberando o Trafego entre as VPN's
iptables -t filter -A FORWARD -i $IVPN -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.1.1.0/24 -o $ILAN -j MASQUERADE
iptables -A FORWARD -d 192.168.200.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.250.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.210.0/24 -j ACCEPT

#NFE - Conexao NFE
iptables -A FORWARD -o $INET -p tcp --dport 7778 -j ACCEPT

#MixFiscal
iptables -A FORWARD -p tcp --dport 1521 -j ACCEPT

#Manter Conexoes Estabelecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Liberando o Trafego na Interface loopback
iptables -A INPUT -i lo -j ACCEPT

#######################################
# REDIRECIONAMENTOS #
#######################################

#Acesso remoto via TS para um Host Windows
iptables -t nat -A PREROUTING -i $INET -p tcp --dport 3389 -j DNAT --to-destination 192.168.210.1

#Acesso via Radmin
iptables -t nat -A PREROUTING -i $INET -p tcp --dport 4899 -j DNAT --to-destination 192.168.210.210:4899
iptables -t nat -A PREROUTING -i $INET -p tcp --dport 6000 -j DNAT --to-destination 192.168.210.149:4899

#Acesso Arius/MixFiscal
iptables -t nat -A PREROUTING -i $INET -p tcp --dport 1521 -j DNAT --to-destination 192.168.210.253:1521

#Proxy Transparente
iptables -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#Acesso ao Arius Web
iptables -t nat -A PREROUTING -i $INET -p tcp --dport 8080 -j DNAT --to-destination 192.168.210.253

#######################################
# LOG #
#######################################

iptables -A INPUT -p tcp -m multiport ! --dports 0:9999 -j DROP
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
}

case "$1" in
start)
echo " * Starting Firewall iptables"
INICIAR
;;
stop)
echo " * Stopping Firewall iptables"
PARAR
;;
restart|reload)
echo " * Reloading Firewall iptables"
INICIAR
;;
*)
echo " * Usage: $0 {start|stop|restart|reload}"
exit 1
esac

exit 0

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 17:23h

Você pode fazer de várias maneiras.
Uma é liberando o acesso às duas máquinas pelo IP:

iptables -A FORWARD -d xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A FORWARD -s xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A FORWARD -d yyy.yyy.yyy.yyy/24 -j ACCEPT
iptables -A FORWARD -s yyy.yyy.yyy.yyy/24 -j ACCEPT
Estas regras acima você coloca por primeiro nas regras do servidor.


Outra:
iptables -A INPUT -i $LAN -d xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A INPUT -i $LAN -s xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A INPUT -i $LAN -d yyy.yyy.yyy.yyy/24 -j ACCEPT
iptables -A INPUT -i $LAN -s yyy.yyy.yyy.yyy/24 -j ACCEPT

ou

iptables -A INPUT -i $IVPN -d xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A INPUT -i $IVPN -s xxx.xxx.xxx.xxx/24 -j ACCEPT
iptables -A INPUT -i $IVPN -d yyy.yyy.yyy.yyy/24 -j ACCEPT
iptables -A INPUT -i $IVPN -s yyy.yyy.yyy.yyy/24 -j ACCEPT
Estas regras acima você coloca por primeiro nas regras do servidor.

Outra:
#Mascaramento
iptables -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IVPN -s $NETWORK -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IVPN -d $NETWORK -j MASQUERADE << compartilhe o tráfego de destino.

Você pode acrescentar as portas necessárias nas regras acima.

Junior_CvZ
(usa Ubuntu)

Enviado em 11/06/2013 - 17:35h

Mas tipo, como meu firewall esta hoje as maquinas cliente (vpn) acessa toda a rede da matriz (vpn), pinga nas maquinas, compartilhamento de Impressoras e de pastas porem não acessa as pastas do meu servidor de arquivo que é windows server 2003 e nao acessa a pasta do meu sistema interno fala que o caminho da rede não existe, porem pinga nelas.
Acha que eu colocando as regras que você me informou resolvera meu problema?
Aguardo.

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 17:42h

Acrescente primeiro essa regra iptables -t nat -A POSTROUTING -o $IVPN -d $NETWORK -j MASQUERADE, reinicie e teste.
Se não resolver, comente ela e acrescente as outras que sugeri, um bloco de regras por vez.
Apesar de que estou achando estranho esse erro de "caminho não encontrado", não está me parecendo um bloqueio do Iptables, mas só testando para saber.

Junior_CvZ
(usa Ubuntu)

Enviado em 11/06/2013 - 17:45h

Vou tentar, só uma observação, a rede da própria matriz acessa as pastas e sistema normalmente somente os clientes vpn não consegue

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 17:58h

Sim, porque para a rede interna está liberado o acesso. A VPN é outra coisa.

Junior_CvZ
(usa Ubuntu)

Enviado em 26/06/2013 - 13:31h

E ai cara blza.
Desculpe a demora amigo, mas resolvi o problema, no samba tem uma configuração onde eu informo a faixa de ip para acessar pois bem, coloquei a faixa da minha vpn 10.1.1. reiniciei o serviço e pronto funcionou perfeitamente.
Mesmo assim obrigado pela força.

saitam
(usa Slackware)

Enviado em 26/06/2013 - 14:09h

Faltou liberar a porta do Samba

iptables -A FORWARD -p tcp --dport 137:139 -i $ifaceInt -s $LAN -j ACCEPT