redirecionamento 3389 (terminal services)
galera !!!! estou precisando de uma ajuda... nao tenho muito conhecimento sobre IPTABLES mas estou lendo sobre o assunto, mas estou tentando acessar um servidor Windows 2003 com terminal services (ip 10.10.10.10) que está atras de um firewall (201.201.201.201) atraves da internet e preciso entao que os pacotes que chegarem no meu firewall sejam redirecionados para a maquina e vice-versa, peguei estas regras na internet, mas nao está funcionando !!! alguem sabe me dizer onde pode estar errado ?
firewall
eth1 201.201.201.201
eth0 10.10.10.1/255.255.255.0
windows 2003 com terminal services
10.10.10.10/255.255.255.0
# Terminal Services
iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT
# DE EXT PARA LAN
iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT
# DE EXT PARA LAN
iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p TCP --dport 3389 -j ACCEPT
# DE EXT PARA EXT
iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
iptables -A FORWARD -i eth1 -d 10.10.10.10/24 -p TCP --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p UDP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
iptables -A FORWARD -i eth1 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
Re: redirecionamento 3389 (terminal services)
Citação:
Postado originalmente por Mguerreiro
galera !!!! estou precisando de uma ajuda... nao tenho muito conhecimento sobre IPTABLES mas estou lendo sobre o assunto, mas estou tentando acessar um servidor Windows 2003 com terminal services (ip 10.10.10.10) que está atras de um firewall (201.201.201.201) atraves da internet e preciso entao que os pacotes que chegarem no meu firewall sejam redirecionados para a maquina e vice-versa, peguei estas regras na internet, mas nao está funcionando !!! alguem sabe me dizer onde pode estar errado ?
firewall
eth1 201.201.201.201
eth0 10.10.10.1/255.255.255.0
windows 2003 com terminal services
10.10.10.10/255.255.255.0
# Terminal Services
iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT
# DE EXT PARA LAN
iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT
# DE EXT PARA LAN
iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p TCP --dport 3389 -j ACCEPT
# DE EXT PARA EXT
iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
iptables -A FORWARD -i eth1 -d 10.10.10.10/24 -p TCP --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p UDP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
iptables -A FORWARD -i eth1 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
Vamos lá:
REDE A----------"INTERNET"------------REDE B
Origem (vc) meio Server W2k
200.200.200.1 200.200.200.2 <- IP externos
10.10.0.1 10.20.0.1 <- IP interno
REGRAS FW REDE A:
# Traduzindo seu ip interno para um ip válido de internet
iptables -t nat -A POSTROUTING -s 10.10.0.1/32 -d 0/0 -j SNAT --to 200.200.200.1
# Regra de mascaramento da conexão originada
iptables -t nat -A POSTROUTING -s 10.10.0.1/32 -d 200.200.200.2/32 -p tcp --dport 3389 --sport 3389 -j MASQUERADE
Se o FW da rede A for statefull, ele vai reconhecer a conexão originada da rede interna e vai permitir a volta, caso contrário, precisará acrescer:
iptables -t nat -A PREROUTING -s 200.200.200.2/32 -d 200.200.200.1/32 ---sport 3389 -j DNAT --to-destination 10.10.0.1
REGRAS FW REDE B:
# Regra para redirecionamento da conexão para o server W2k
iptables -t nat -A PREROUTING -s 200.200.200.1/32 -d 200.200.200.2/32 -p tcp --dport 3389 -j DNAT --to-destination 10.20.0.1
# Regra de mascaramento da conexão originada do W2k
iptables -t nat -A POSTROUTING -s 10.20.0.1/32 -d 200.200.200.1/32 --sport 3389 -j MASQUERADE
( )'s