Como liberar conexão de área de trabalho remota, qual interface usar?

[brunomota]

Boa noite amigos,

Estou precisando criar uma regra para acessar o servidor server 2003 remotamente, estrutura da rede:

windows server 2003 ---- linux (iptables) ---- internet

Pesquisando em um antigo fórum aqui achei a seguinte descrição que deu certo na caso segundo o participante:

############################################################
primeiro aceita as conexoes
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

depois avisa que a porta vai ser forwardeada
iptables -A FORWARD -i eth0 -d 0/0 -p tcp -m tcp --dport 3389 -j ACCEPT

entao você direciona pra maquina
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to 10.0.0.24
###############################################################

Surge minhas duas dúvidas:
Na primeira regra citada.
primeiro aceita as conexoes
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
Minha politica na tabela INPUT por padrão está definida como ACCEPT..caso eu não adicione essa regra funcionará?

A interface do segundo e terceiro comando é referente a interface da internet ou a interface da rede interna do servidor linux?
Acredito que seja na interface de internet....pois quando digitar o ip externo de minha casa que corresponde a interface externa do linux....o pacote será redirecionado para a rede interna..no caso o servidor que precisarei fazer a área de trabalho remota..estou correto?
Abraços

Bruno Mota

[laerciomotta]

se a sua politica for ACCEPT não precisa da primeira linha
somente se no seu firewall vc usar iptables -P INPUT DROP

a FORWARD também não vai precisar..
acredito que só precise do DNAT
onde:
iptables #comando ...
-t nat #tabela que sera usada..
-A PREROUTING #quer dizer que vai ser feito antes do roteamento
-i eth0 # o -i quer dizer que é a interface de entrada assim como a -o é de saída, vc pode usar a -d que seria de destino no caso o teu ip externo...
-p tcp # identifica que é um pacote tcp
--dport 3389 # porta que ele vai bater no destino
-j DNAT # informa que é um roteamento pelo destino
--to 10.0.0.24 # ip onde ele vai cai..

mais informações vc pode dar uma olhada em:
Firewall com IPTABLES - by Eriberto
fale a pena ler tudo..

[]'s

[brunomota]

Boa noite,

Obrigado pela resposta:

Sobre sua citação:
-i eth0 # o -i quer dizer que é a interface de entrada assim como a -o é de saída, vc pode usar a -d que seria de destino no caso o teu ip externo...

Nesse caso é a interface de entrada da rede externa? no caso a interface do linux que está setado ip público ou a interface interna? a interface do linux que está realizando o compartilhamento da internet para a rede interna?

iptables -t nat -A PREROUTING -i eth0(a interface da conexão wan ou lan do limux?) -p tcp -m tcp --dport 3389 -j DNAT --to 10.0.0.24

[laerciomotta]

a -i pode ser tanto a wan quanto a lan..
vai depender de onde vc quer q ele entre o pacote
o iptables aceita vc usar o q vc quiser ae.. inclusive se vc tirar essa flag ele vai funcionar assim:

digamos que eu tenha ppp0, eth0, eth1..
ppp0: 200.1.1.1
eth0: 192.168.0.1
eth1: 10.1.1.1
coloco a regra:
iptables -t nat -A PREROUTING -p tcp --dport 3390 -j DNAT --to 10.1.1.199

ele vai intende o seguinte:
se eu manda um pacote tanto no ip 20.1.1.1 ou no ip 192.168.0.1 ou no ip 10.1.1.1 na porta 3389 ele vai encaminha para o ip 10.1.1.199 na porta 3389
agora se eu colocar o -i ele vai limitar a interface que eu colocar, por ex:
iptables -t nat -A PREROUTING -i ppp0 p tcp --dport 3390 -j DNAT --to 10.1.1.199

ele vai somente aceitar o pacote que entre no ppp0(ip 200.1.1.1) com destino a porta 3389 e vai redirecionar o destino do pacote(DNAT - Destination NAT) para o ip 10.1.1.199, sendo assim se cai e outra interface (eth0 ou eth1) ele vai rescartar o pacote.

da uma olhada naquele tutorial meu amigo.. essas duvidas vao esclarecer muito bem.. procure no site do eriberto sobre analise de tráfego de rede tambem... leia, nao faz mal..

não adianta eu te explicar muitos detalhes aqui q sempre vao surgir duvidas, entao leia e esclarece tudo isso.. tudo que te falei aqui aprendi la.. Good Luck and Merry Christmas!!

[brunomota]

Bom dia,

Pô cara valeu mais uma vez pela dúvida tirada...estou estudando com o livro de Ubiratan Neto "dominando o firewall iptables" e umas vídeo aulas muito interessante que se encontra no link Video aula IPTables - Fórum do Guia do Hacker... vou olhar o link que vc mandou para buscar mais informações...realmente é um assunto muito extenso....

Abraços e feliz natal pra vc tb..