Regras de NAT para acesso a 2º servidor

[rvercesi]

Eu uso o Ubuntu Desktop 10.10

[sowbra]

Tem algo errado entao... posta a configuracao que foi feita pra vc fazer o acesso remoto via windows...

e posta tb seu pg_hba.conf.

[rvercesi]

pg_hba.conf

Código :

# IPv4 local connections:
host    all         all         127.0.0.1/32            md5
host    all         all         127.0.0.1        255.255.255.255    md5
host    all         all         ::1/128                md5
host    all        all            1.1.1.1       0.0.0.0        md5
host    all        all            10.1.1.1       255.255.255.0    md5
host    all        all            187.7.131.36     255.0.0.0    md5

Com relação à configuração pra acessar o Windows remotamente, não fiz nada!
Só inseri as linhas que vc me passou.

Note que eu não entendo absolutamente nada de iptables. Se quiser te passo a saida de iptables -v -n -L

[sowbra]

como na fez nada?? so colocou as configuracoes q eu passei..

Vc acessa via TS ??

Quanto ao pg_hba.conf esta errado.

O ip que vc esta utilizando é o de destino e nao de origem.

tenta colocar algo

host all all 0/0 md5

so para fazer um teste.

Depois que vc alterou as regras do pg_hba.conf vc ja reiniciou o server??

Outra coisa seu arquivo postgresql.conf esta como esses parametros?? posta ai.

listen_addresses = '192.168.0.1' # Para todas interfaces Utilize '*'
port = 5432

[rvercesi]

postgres.conf:

listen_addresses = '*'
port = 5432

Eu mexi nisso quando instalei o PG há mais de 2 meses, e já reiniciei o servidor Windows umas 5 vezes depois disso!

Quanto ao IPTables, foi assim. Quando instalei o Ubuntu, ninguém conseguia navegar por ele!

Fuçei um monte e nada, ai me falaram do firestarter, instalei ele, incluí alguns parâmentros (como proibi bittorrent, permiti ssh) nele e bastou isso para todos navegarem na internet!

Ou seja, todas as regras do iptables foram feitas automaticamente por esse GUI do iptables. Mas mesmo assim eu não consigo usar o putty para acessar o server linux.

[sowbra]

se nao me engano ubuntu vem com um firewall habilitado por padrao o UFW pode ser desabilitado por: sudo ufw disable. Para ver o status do firewall, digite: sudo ufw status

mas axo q isso no bloquei as portas. mas qto esse firestarter, nao tem como desabilitia-lo? para vc fazer um teste, e colocar aquela regra te te passei , ali ja serve para compartilhar a internet.

Quanto ao seu server de BD pq vc usa duas placas de rede ??? pq nao utiliza so a interna, pq o correta e que seu acesso externo passei pelo firewal e depois atraves de regras de redirecionamento que encaminhe com ele.

To vendo que ta tendo conflito de parametros e regras.. o certo era comecar do zero... pouparia muito tempo... reinstalar o ubuntu e redefinir as regras so pelo iptables que é simples e pratico.... e depois so redirecionar ao server de BD.

[rvercesi]

ufw status:
INATIVO

se eu parar as regras do firestarter cai a net de toda a empresa!

e aquele script está dando o seguinte erro:

root@serverlinux:/tmp# chmod +x ./firewall
root@serverlinux:/tmp# ./firewall
'/firewall: linha 2: erro de sintaxe próximo do `token' não esperado `in
'/firewall: linha 2: `case $1 in

[rvercesi]

inclui a linha no pg_hba.conf e reiniciei o PG.

host all all 0/0 md5

E nada de acessar!

[rvercesi]

Sowbra, tenho que ir agora, amanhã continuo minha sina de fazer isso funcionar!

Se puder dar uma olhada no porque tá dando o erro no script que vc me passou eu tento rodar ele amanhã quando chegar para ver se resolve o problema só com as suas regras!

Muito obrigado pela ajuda e paciência!

[sowbra]

o seguinte, testei a o script aqui num ubuntu server 10 utilizando o comando vim.. e rodou perfeitamente....

## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - By SOWBRA"
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F
## COMPARTILHAR CONEXAO DE INTERNET
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

### libera acesso ao Postgres PORTA 5432
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 5432 -j DNAT --to 172.18.20.30
iptables -t nat -A POSTROUTING -d 172.18.20.30 -j SNAT --to 172.18.20.80


;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
;;
*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
esac



root@openvpn:/etc/init.d# vim /etc/init.d/firewall
root@openvpn:/etc/init.d# ./firewall restart
Firewall - By SOWBRA
root@openvpn:/etc/init.d#

vc deve ter feito algo errado.

como nao da para parar o firestarter, sugiro pegar uma maquina a parte para fazer esses teste e qdo tiver ok vc replica para essa que esta em producao.

Caso contrario vc vai ficar andando em circulos e nao vai progredir.... eu digo por experiencia propria... caso nao tenha uma maquina disponivel monte uma virtual atraves do vmware, virtual box... hyper v... etc....

[rvercesi]

Atualizando!

Cedinho parei o firestarter e rodei teu script!
Todo mundo navegando sem problemas
Mas... nada do meu banco de dados!

resultado de: iptables -v -n -L

Código :

root@serverlinux:/etc/init.d# iptables -v -n -L
Chain INPUT (policy ACCEPT 6614 packets, 821K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 
Chain FORWARD (policy ACCEPT 180K packets, 110M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 
Chain OUTPUT (policy ACCEPT 5899 packets, 667K bytes)
 pkts bytes target     prot opt in     out     source               destination

[rvercesi]

Quanto ao seu server de BD pq vc usa duas placas de rede ??? pq nao utiliza so a interna, pq o correta e que seu acesso externo passei pelo firewal e depois atraves de regras de redirecionamento que encaminhe com ele.

Só para responder. O server possui duas placas de rede, mas a placa de rede externa (187.7.131.35) não está conectada! Portanto, estou utilizando somente a placa de rede interna (10.1.1.49).

[sowbra]

1) Vc ja consegue acessar por ssh o servidor de firewall ?

2) Quanto ao acesso remoto que vc citou la encima que ja faz no windows server, vc consegue fazer como esse acesso como?? via TS? esse acesso eh feito de fora (internet) de sua rede?

Para melhor compreensao, procure responder de acordo com o numero das perguntas e sempre num post unico.

[rvercesi]

1) Não consigo acessar o linux pelo putty, nem placa externa (187.7.131.36) nem placa interna (10.1.1.1).

2) Não é possível mais acessar remotamente o windows pelo IP externo (187.7.131.36), somente pelo IP inteno (10.1.1.49).

Estou tentando acessar o PG pelo IP externo e não é possível. Somente pelo IP interno.

[sowbra]

1) Uma pergunta basica vc sabe se esta instalado o ssh em sua maquina?

2) 99,99% de certeza que o problema esta em relacionado ao seu modem, pois qdo eh feita uma requisicao fora de sua rede é recebida pelo modem, se no modem nao tem nada indicando para onde ele deve mandar as requisicoes automaticamente vai ser recusado. Como te disse nos posts anteriores, fica impossivel efetuar testes se o modem nao tiver configurado corretamente, o fato dele nao estar bloqueando nenhuma entrada/saida nao quer dizer q ele vai funcionar para o acesso remoto. sugiro dar uma estudada no manual dele, e ver algo sobre "DMZ", redirecionamento de portas... Pq com aquela simples regra no firewall ja funcionaria 100%...

[rvercesi]

1) SSH está instalado! Olha isso:

Código :

root@serverlinux:/etc/init.d# ssh
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-e escape_char] [-F configfile]
           [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport]
           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
           [-R [bind_address:]port:host:hostport] [-S ctl_path]
           [-W host:port] [-w local_tun[:remote_tun]]
           [user@]hostname [command]

2) vou olhar o manual do modem pra ver o que dá pra fazer, mas a OI me falou pra não meter a mão nele! hehehehee

[sowbra]

para desencargo use o seguinte comando:

apt-get install ssh

[GeekWarMachine]

Minha rede está assim:

Internet --> Servidor Ubuntu ---> Switche ---> Micros + servidor DB

Esse servidor de DB eu gostaria de acessar ele de fora da empresa!

Ele tem instalado o PostgreSQL (Windows Server 2010 64 bits).

Ele possui duas placas de rede.

Uma com IP fixo na internet (187.7.131.xx) e outra com ip da rede interna (10.1.1.49).

Meu problema é colocar no firewall (firestarter) uma regra para que eu possa acessar o server de DB (postgreSQL porta 5432) além de poder usar conexão remota nele.

Gostaria de não utilizar o IP externo para isso (desconectar a placa externa), mas de utilizar NAT para ele para não ficar tão visível na net. Só que não tenho a mínima ideia de como fazer isso.

Poderiam me ajudar a solucionar esse problema?

Desde já agradeço a atenção de todos!

Amigo,

1) O servidor Ubuntu roda quais serviços??? Iptables? Squid??? Ele é o firewall da empresa??? Explique melhor.

2) Qual porta você configurou para o serviço PostgreeSQL??? Manteve a DEFAULT (5432) ou configurou outra? Por favor, revise as configurações desse serviço, não custa nada.

3) Verifique o firewall do Windows e veja se a porta 5432 está realmente liberada.

Abraços!!!

[rvercesi]

BVOm dia, obrigado pelo interesse!

1) IPTables (firestarter), squid (rodando mas sem configuração nenhuma ainda). Este micro é para ser o firewall da empresa sim! Ele é quem disponibiliza a internet para todos. Após ele tenho um switch com diversos micro, um roteador wi-fi e um servidor Windows Server 2008 com o PG.

2) O PG está na porta padrão, me conecto nele através da rede interna sem problemas, desde que o firewall do Windows server esteja desligado. O sistema atualmente fuinciona somente dentro da empresa, pois não consigo ajustar o nat para acessar de fora. Ou seja, via IP interno tudo está Ok.

3) O firewall do windows não está habilitado. Já liberei a porta 5432 no firewall e mesmo assim se habilito ele não consigo acessar. A mesma coisa acontrece nomeu micro que tem o PG para teste. Se libero aporta 5432 e deixo ele habilitado não consigo acessar, somente se desabilito TODO o firewall.

[GeekWarMachine]

Me responda por favor:

1) Nesse servidor Windows, as duas interfaces de rede mencionadas não são wireless. Correto?

2) Você reviu a configuração do PostgreeSQL de forma completa, digo toda? Pois, existem configurações que limitam quais IPs pode acessar o PG e configuração para escutar apartir de um IP. Não custa nada revisar denovo, apartir dessas informações.

3) Em uma estação de trabalho qualquer de sua rede você consegue acessar o PostgreeSQL apartir das duas interfaces de rede, faça este teste por favor.