Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Olá pessoa é o seguinte, tenho um roteador funcionando como gateway e firewall, uso a distro smoothwall com iptables nesse router, tenho um probleminha, preciso acessar todos os micros da rede interna através do Desktop Remoto do Windows, isso através da rede externa, como faço isso no iptables, pois a solução de redirecionamento de porta fica inviável...pois a rede tem muitos computadores....tem como deixar essa porta 3389 se não me engano aberta pra que possa acesssar qualquer computador da rede interna fora dessa rede? Sou newbie me ajudem...
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Bom dia mark0z,
A propria microsoft não recomenda fazer acesso TS externamente, sugiro a vc estabelecer uma vpn primeiro e assim vc poderá fazer a conexão em suas maquinas com tranquilidade e segurança. Não faça publicação em seu router do protocolo RDP para o mundo.
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Citação:
Postado originalmente por
jvicente
Bom dia mark0z,
A propria microsoft não recomenda fazer acesso TS externamente, sugiro a vc estabelecer uma vpn primeiro e assim vc poderá fazer a conexão em suas maquinas com tranquilidade e segurança. Não faça publicação em seu router do protocolo RDP para o mundo.
é através de uma VPN, só que vpn me dá acesso a uma rede e os computadores que quero acessar ficam atrás de um outro roteador gateway que está com um firewall(quero liberar o firewall para remote desktop, mas são muitos pcs que quero acessar e redirecionar portas fica muito inviavel....
Tipo o esquema seguinte:
http://img842.imageshack.us/img842/4567/rede.jpg
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
ip que vc ker conectar externamente é sempre o mesmo e é fixo??
faz o teu iptables aceitar conexoes na 3389 somente daquela maquina..
ah! vc tem varias? sao mtas mesmo? pq derrepente vc pode fazer uma regra p/ cada
digamos que vc tenha as 5 maq:
192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
todas com TS na 3389(claro)
iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3391 -j DNAT --to 192.168.0.1:3389
iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3392 -j DNAT --to 192.168.0.2:3389
iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
e assim sucessivamente.. serve??
assim somente o teu pc vai conectar e ninguem mais..
ou vc pode fazer um port knock...
ou coisa parecida =)
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Citação:
Postado originalmente por
laerciomotta
ip que vc ker conectar externamente é sempre o mesmo e é fixo??
faz o teu iptables aceitar conexoes na 3389 somente daquela maquina..
ah! vc tem varias? sao mtas mesmo? pq derrepente vc pode fazer uma regra p/ cada
digamos que vc tenha as 5 maq:
192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
todas com TS na 3389(claro)
iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3391 -j DNAT --to 192.168.0.1:3389
iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3392 -j DNAT --to 192.168.0.2:3389
iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
e assim sucessivamente.. serve??
assim somente o teu pc vai conectar e ninguem mais..
ou vc pode fazer um port knock...
ou coisa parecida =)
Eu gostaria de acessar qualquer ip na porta 3389, sem fazer redirect. pq se eu tiver 200 pcs vou ter q colocar pra cada pc:
iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
Ai é dureza, queria que funcionasse como se não tivesse firewall..., e o que é "port knock"...?
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Citação:
Postado originalmente por
mark0z
Eu gostaria de acessar qualquer ip na porta 3389, sem fazer redirect. pq se eu tiver 200 pcs vou ter q colocar pra cada pc:
iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
Ai é dureza, queria que funcionasse como se não tivesse firewall..., e o que é "port knock"...?
nao sei se estou falando besteira... mas vc já tentou liberar para toda a rede?
192.168.0.0/24 ???
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Citação:
Postado originalmente por
gbovelar
nao sei se estou falando besteira... mas vc já tentou liberar para toda a rede?
192.168.0.0/24 ???
Eu tenho que testar algo meio que "certeza" porque é um pc de produção aqui...=/
Mas fiz isso através do console web do smoothwall sem êxito!
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Bom dia Pessoal,
Tenho uma dúvida sobre acesso remoto.
Aqui na empresa tenho dois servidores que precisam ser publicados na internet para ter acesso remoto.
Um deles eu consegui usando a seguinte regra:
iptables -t filter -A FORWARD 192.168.200.243 -t eth0 -p tcp -m tcp --dport 3389 -J ACCEPT
e
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -J DNAT --to-destination 192.168.200.243
Eu preciso publicar outro servidor, por exemplo o que tenho o IP 192.168.200.249 e não estou sabendo fazer. Alguém pode me ajudar?
Obrigado pela atenção.
T+!
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Bem meu amigoo..
O caminho é o mesmo..
Mais a lógica é a seguinte..
Vc não pode usar a mesma porta 3389 para os 2 servidores
então vc terá que usar outra.. Podendo uma qualquer, sugiro algo acima..
Tipo 3390:
iptables -t filter -A FORWARD 192.168.200.249 -i eth0 -p tcp -m tcp --dport 3390 -J ACCEPT
e
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3390 -J DNAT --to-destination 192.168.200.249:3389
No caso eu coloco o 3389 no final..
Na regra do FORWARD não é -t eth0 e sim -i eth0 se for entrada pela eth0 e -o eth0 se for saída..
Ainda na regra do FORWARD eu to dizendo: o pacote que for encaminhado vindo da eth0 para qualquer lugar com destino a porta 3389 é ACEITA
Estou dizendo para a regra PREROUTING.. o que chegar de entrada na eth0 com o protocolo tcp e a porta destino 3390 MUDE O DESTINO(DNAT) para 192.168.200.249 na porta 3389
E volto a dizer como eu sempre digo nos meus post..
Leiam pelo menos umas duas vezes esse tuto:
Firewall com IPTABLES - by Eriberto
Não foi eu que fiz, mais ta muito bem explicado..
[]'s
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Blz meu nobre, valeu mesmo pelo apoio. Vou ler este tuto.
Esqueci de comentar um detalhe. O pessoal que está externo, acessa o primeiro servidor via TS (o 192.168.200.243), Eles colocam o IP 222.222.222.222 no MSTSC do pc cliente que está em outro estado, por exemplo, e acessam o server 243. Preciso agora, também acessar o server de IP 249. Então, se entendi direito, para eu acessar esse outro servidor de IP 249, basta no MSTSC eu fazer o seguinte:
222.222.222.222:3390?
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
É o seguinte, na placa eth0, que é a placa de rede que está na internet, podemos por vários endereços IP's, eu vi um modo de ser fazer o que preciso colocando vários endereços IP's na mesma placa e criar diversos redirecionamentos. No exemplo acima, o:
iptables -t filter -A FORWARD 192.168.200.243 -t eth0 -p tcp -m tcp --dport 3389 -J ACCEPT
e
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -J DNAT --to-destination 192.168.200.243
Ta funcionando. Eu coloquei mais um IP nesta mesma placa e seu nome do dispositivo, nas configurações de rede ficou "eth0:1", me corrijam se eu estiver errado, pois, na teoria se eu fizesse o seguinte esquema:
iptables -t filter -A FORWARD 192.168.200.249 -t eth0:1 -p tcp -m tcp --dport 3390 -J ACCEPT
e
iptables -t nat -A PREROUTING -i eth0:1 -p tcp -m tcp --dport 3390 -J DNAT --to-destination 192.168.200.249
Era para dar certo, não?
Só que, salvo o arquivo e na hora que uso o iptables-restore /caminho onde está o arquivo, me apresenta a seguinte mensagem:
Warning: wired character in interface 'eth0:1' (no aliases, :, ! or *).
Warning: wired character in interface 'eth0:1' (no aliases, :, ! or *).
Entendi que é o ":" que coloquei no nome da interface, só que é esse o nome da interface com o novo IP que me aparece no ifconfig. O que eu teria que fazer neste caso?
Mais uma vez, grato pela atenção.
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
laerciomotta, deu certo meu velho, eu tava cego com esse problema e n tinha entendido direito o que vc tinha dito, mesmo estando bem claro. Valeu mesmo meu velho, tu é o cara.
Se tu vier por aqui pelo Recife, dá os toque que já tem uma grade de cerveja paga.
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Simples...
Tire o :1
Iptables desconsidera aliases
Olha o erro.. Leia e tente fazer algo antes de desesperar
[]'s
Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services
Eu tinha tentado, a bronca era que, tudo que eu tentava, ele só conectava no servidor da primeira regra, a bronca é que eu não estava pondo o :3389 no final da regra como você mencionou. Massa, então pelo que entendi, eu nem preciso ficar pondo vários endereços IP's na mesma placa, vou até economizar IP's públicos.
Valeu mesmo.
