Iptables -> Direcionamento de Portas Slack p/ Windows 2003 Server

**Macintosh** · 22-12-2007, 01:25

Ola Amigos.

Possuo um servidor linux (Slackware 10.0), conectado a internet atraves de um ip fixo. Na minha rede local possuo um outro servidor com o Windows 2003 Server instalado. Preciso fazer o direcionamento de portas, para que seja possivel fazer acesso remoto pelo terminal service. Tentei varias configuracoes diferentes, que eu encontrei em varios foruns na internet, mas ainda nao obtive sucesso. Alguem sabe dizer o que esta errado no meu arquivo de configuracao do firewall ??

Segue abaixo o arquivo rc.firewall

#Variaveis
LAN1="eth1"
WAN1="eth0"
# IP Servidor Windows 2003 Server: 192.168.10.200
# IP Real Internet (Fixo) Servidor Linux: 200.xxx.xxx.3

REDE="192.168.10.0/24"
P_PX="35000"

iptables -F
iptables -t nat -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 563 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1863 -j ACCEPT # - MSN
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 31000 -j ACCEPT
iptables -A INPUT -p tcp --dport 31001 -j ACCEPT
iptables -A INPUT -p tcp --dport 31002 -j ACCEPT
iptables -A INPUT -i $LAN1 -p tcp --dport $P_PX -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.10.200 -d 0.0.0.0/0 -j ACCEPT #Maquina com acesso total - Servidor
iptables -A FORWARD -s 192.168.10.101 -d 0.0.0.0/0 -j ACCEPT #Maquina com acesso total - Notebook

iptables -A FORWARD -i $LAN1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $LAN1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $REDE -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $REDE -p tcp --dport 563 -j ACCEPT

iptables -A FORWARD -i $LAN1 -d 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT #Acesso a qualquer smtp
iptables -A FORWARD -i $LAN1 -d 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT #Accesso a qualquer pop
iptables -A FORWARD -i $LAN1 -p tcp --dport $P_PX -j ACCEPT #Aceita da rede local o acesso proxy

iptables -A FORWARD -i $LAN1 -p tcp --dport 80 -j DROP #Bloqueia a porta 80

iptables -t nat -A POSTROUTING -o $WAN1 -j MASQUERADE

#Direcionamento de Portas para o Terminal Service do Windows 2003
iptables -A INPUT -i eth0 -p TCP --dport 3389 --syn -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 3389 -j ACCEPT

# DE EXT PARA LAN
iptables -A FORWARD -i eth0 -o eth1 -s 200.xxx.xxx.3 -d 192.168.10.200 -p TCP --dport 3389 -j ACCEPT

# DE EXT PARA EXT
iptables -A FORWARD -i eth0 -o eth1 -s 200.xxx.xxx.3 -d 192.168.10.200 -p UDP --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 3389 -j DNAT --to-destination 192.168.10.200:3389
iptables -A FORWARD -i eth0 -d 192.168.10.200/24 -p TCP --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 3389 -j DNAT --to-destination 192.168.10.200:3389
iptables -A FORWARD -i eth0 -d 192.168.10.200/24 -p UDP --dport 3389 -j ACCEPT

#Outra regra que tambem nao funcionou
#iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 3389 -j DNAT --to 192.168.10.200
iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 58000 -j DNAT --to 192.168.10.200
iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 59000 -j DNAT --to 192.168.10.200

#Contra Syn-fllod
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#Contra Ping da Morte
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Contra nmap
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#iptables -A FORWARD -p tcp -tcp-flags SYN,ACK -j DROP

#Logando os pacotes
#Logando pacotes bloqueados vindo da internet
iptables -A INPUT -p tcp -i $LAN1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp : "
iptables -A INPUT -p icmp -i $LAN1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp : "

iptables -A FORWARD -m unclean -j DROP

echo "Firewall Carregado com Sucesso"

**alexandrecorrea** · 22-12-2007, 03:41

esse firewall seu ai ta cheio de regra inutil.. mas vamos lah

iptables -t nat -I PREROUTING -p tcp --dport 3389 -d 200.200.200.1 -j DNAT --to-destination 192.168.0.1:3389

so basta essa regra.. a regra do SNAT.. o masquerade faz ela.. nao precisa..

o -I ali em cima.. eh para inserir a regra por cima das outras.. fazendo com que ela fique sendo a primeira..

tem q funcionar isso

**Macintosh** · 22-12-2007, 09:00

Alexandre, obrigado pela ajuda.

Fiz o que vc disse, mas mesmo assim naum funcionou.

Removi todas as regras inuteis que direcionavam para a porta 3389, e deixei apenas
a regra que vc me passou. Mesmo assim não funcionou.

Meu acesso remoto via ssh (putty) a este servidor, funciona normalmente, mas nenhum direcionamento de portas esta funcionando. Será que pode ter alguma coisa errada no inicio do arquivo rc.firewall que está configurado de forma errada ?

obrigado.

**mastellaro** · 22-12-2007, 11:46

Kra nao é interessante voce dar uma estudada sobre iptables e rever suas regras ??

seria mais interessante...

Tenta essa regra...

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 200.200.200.1 -j DNAT --to 192.168.0.1

**Macintosh** · 26-12-2007, 12:52

Amigao, vc tem razao !

Naum deu certo esta regra que vc passou.

vou fazer o que vc me disse. vou estudar um pouco mais sobre iptables pra tentar montar uma regra certinha e funcional. Se eu tiver dificuldades, eu vou postando...

De qualquer forma, obrigado pela ajuda.

Abraços;

**alexandrecorrea** · 27-12-2007, 01:14

a regra q eu postei funciona SIM !!

olha os hits das regras do meu router de casa

Código :

# iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 2634K packets, 261M bytes)
 pkts bytes target     prot opt in     out     source               destination
    7   408 DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:443 to:192.168.101.2:443
   30  1436 DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:8080 to:192.168.101.2:8080
  440 38702 DNAT       udp  --  *      *       0.0.0.0/0            200.200.200.200    udp dpt:36094 to:192.168.101.2:36094
  180  8960 DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:36094 to:192.168.101.2:36094
 256K   17M DNAT       udp  --  *      *       0.0.0.0/0            200.200.200.200    udp dpt:4672 to:192.168.101.2:4672
 137K 6799K DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:4662 to:192.168.101.2:4662
   60  2880 DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:5900 to:192.168.101.2:5900
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            200.200.200.200    tcp dpt:5800 to:192.168.101.2:5800

deve ter alguma coisa no sysctl ou no seu firewall que ta sobrepondo alguma regra... (no caso de sobrepor, talvez outras regras)

**lucianogf** · 03-01-2008, 15:38

cara...

pra você tirar a duvida se funciona ou não, você apaga todas as regras e coloca somente a de redirecionamento para o TS

exemplo hipotético:

Código :

INTERNET=eth1
REDE=eth0
 
IP_REDE=192.168.0.1
IP_INTERNET=200.200.200.1
IP_TS=192.168.0.100
 
iptables -t nat -A PREROUTING -s 0/0 -d $IP_INTERNET -i $INTERNET -p tcp -m tcp --dport 3389 -j DNAT $IP_TS
iptables -t filter -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -t nat -A PORTROUTING -s 0/0 -d $IP_TS -j SNAT --to $IP_REDE

tem que funcionar...

Iptables -> Direcionamento de Portas Slack p/ Windows 2003 Server

Ferramentas de Tópicos

Iptables -> Direcionamento de Portas Slack p/ Windows 2003 Server