Bom dia!
Sou novo no forum e o procurei por conta de um problema. Temos um server (Fedora - FW/Proxy) trabalhando na matriz da empresa, o mesmo tem 2 interfaces, uma com um IP válido e uma local. As maquinas da filial acessam o servidor de terminais da matriz atraves de uma regra de PREROUTING e uma de POSTROUTING:
iptables -A PREROUTING -i eth1 -p tcp -s [ipvalidomatriz] --dport 3389 -j DNAT --to-destination 192.168.0.5
iptables -A POSTROUTING -s 192.168.0.5/32 -o eth1 -p tcp -j SNAT --to-source [ipvalidomatriz]
Onde 192.168.0.5 é um servidor Windows2003Server configurado como servidor de terminal (TS).
Os clientes na filial usam a area de trabalho remota e digitam o IP válido para se conectarem.
O problema é que qualquer pessoa que digite o IP de qualquer lugar pode acessar a rede.
Quero bloquear o acesso de forma que só o IP da filial acesse. O link da filial é Embratel e navegam por um IP válido(NAT). Fiz umas regras mas nao sei se estou certo. Gostaria de outras opiniões antes de testar no servidor.
Regras:
iptables -A INPUT -p tcp -i eth1 -s [ipdafilial] --dport 3389 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 -s [ipdafilial] --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 -s 192.168.0.5 --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -j LOG
iptables -A OUTPUT -p tcp -i eth0 -j LOG
#iptables -A INPUT -p tcp -i eth1 -p tcp --dport 3389 -j REJECT
#iptables -A INPUT -p tcp -o eth1 -p tcp --dport 3389 -j REJECT
iptables -A PREROUTING -i eth1 -p tcp -s [ipvalidomatriz] --dport 3389 -j DNAT --to-destination 192.168.0.5
iptables -A POSTROUTING -s 192.168.0.5/32 -o eth1 -p tcp -j SNAT --to-source [ipvalidomatriz]
Onde eth1 é a interface externa e eth0 interna.
Comentei essas linhas pois um amigo disse que como eu aceitei um determinado IP para porta do TS (3389), os outros já serão negados por default. Procede?
Se esta lógica nao estiver correta aceito sugestoes.
Espero que essa questão sirva para aumentar e disseminar o conhecimento nessa área.
Obrigado!