liberar entrada por VNC

focianc · 18-11-2004, 22:12

Boa noite galera!!

tenho um firewall bonitinho e com tudo o que precisso.... entau, chego um cara e diz: ñ posso acessar as filiais com o VNC para dar suporte!!!
... por end, vou ter que liberar o acesso so para VNC e a duvida e como?
se algem pode me dar uma luz, agradeço.

**demiurgo** · 18-11-2004, 23:35

dah um iptables -F e v se funciona....

se funcionar, coloque no inicio da sua fw...

iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT

e ativa d novo a fw...

[]'s

**Brenno** · 19-11-2004, 12:11

bora la, vamos suport que seu firewal tem duas interface, eth0 e eth1

eth0 interno = 192.168.0.2
eth1 externo = ppp0

se se alguem quer acessar uma maquina cliente q se encontra na rede interna com o ip 192.168.0.3
vc tem q usa o dnat

iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j --to-destination 192.168.0.3:5900

quando alguem tenta acessa sua rede externamente com o vc, ele redireciona pra essa maquina, espero ter ajudado t+

**PcGuy** · 22-11-2004, 11:56

Brenno, blz?

Seguinte, coloquei a chain que vc. falou mas meu firewaal em Porto Alegre naum funfa. Não entendi mas ele deu uma mensagem de erro do --dport. Só que já usava --dport antes e não dava erro nenhum.

Espero que possa me ajudar,

Abraços.

Danilo_Montagna · 22-11-2004, 12:21

a regra que o Brenno passou nao esta correta..

------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j --to-destination 192.168.0.3:5900
-------------------------------------------------------------------------

nao existe a opcao "-m tcp" no iptables e tb esta faltando usar a variavel de NAT .. "-j DNAT"..

o correto é..

iptables -t nat -A PREROUTING -p tcp -i ppp0 -d 200.200.200.xxx --dport 5900 -j DNAT --to 192.168.0.3:5900

**fred_m** · 22-11-2004, 12:56

Aqui eu faço da seguinte forma

$IPTABLES --table nat -A PREROUTING -p TCP --dport 5900 -j LOG \--log-prefix "VNC:"
$IPTABLES --table nat -A PREROUTING -p tcp --dport 5900 -i eth0 -j DNAT --to 10.60.70.7:5900 # Desviar para maquinas WIndows

$IPTABLES --table nat -A PREROUTING -p TCP --dport 5800 -j LOG \--log-prefix "VNC:"
$IPTABLES --table nat -A PREROUTING -p tcp --dport 5800 -j DNAT --to 10.60.61.7:5800 # Máquinas Linux

Lembor que para que você possa acessar o client, o client deve ter rota para acessar você.

22-11-2004, 15:56

Postado originalmente por Danilo_Montagna

a regra que o Brenno passou nao esta correta..

------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j --to-destination 192.168.0.3:5900
-------------------------------------------------------------------------

nao existe a opcao "-m tcp" no iptables e tb esta faltando usar a variavel de NAT .. "-j DNAT"..

o correto é..

iptables -t nat -A PREROUTING -p tcp -i ppp0 -d 200.200.200.xxx --dport 5900 -j DNAT --to 192.168.0.3:5900

caro colega, antes de fala algo em que se diz esta errado ou certo, seria legal vc testa o mesmo, não vou explica pra q serve o -m, mas se tive interesse em saber de um "man iptables"

se tiver duvidas posta ae que eu te explico depois com mais calma pra que serve o -m

eu errei ao esquecir de colocar o DNAT, isso foi erro meu, ao digitar rapido e na impogação esquecir de colocar e de antes de mais nada já pesso desculpa pelo meu erro, em relação ao -m, volta a repetir, procure saber pra que server antes de fala algo, o protocolo q o vnc usar eh tcp, entao vc pode expecifica sim, t+

**Brenno** · 22-11-2004, 15:59

quem posto isso ai em cima fui eu, n sei como apareceu o nome de outro user, bug sux hehehehe

Danilo_Montagna · 22-11-2004, 16:12

Brenno...

desculpe.. se pareceu o que eu falei ficou com um TOM meio agressivo.. nao era essa a intençao..

e sobre sua resposta...

realmente vc esta certo.. devia estar meio dormindo quando respondi o post anterior..

[]'s

22-11-2004, 16:23

Postado originalmente por Brenno

se se alguem quer acessar uma maquina cliente q se encontra na rede interna com o ip 192.168.0.3
vc tem q usa o dnat

iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j --to-destination 192.168.0.3:5900

quando alguem tenta acessa sua rede externamente com o vc, ele redireciona pra essa maquina, espero ter ajudado t+

Me desculpem pela pergunta boba de iniciante.......
mas blz.. entendi q pra acessar a maquina interna da rede eu tenho que te um redirecionamento.... mas por outro lado.... como seria o ip pra acessar a maquina interna??

Danilo_Montagna · 22-11-2004, 16:29

ficou meio confusa essa sua pergunta...

poderia explicar melhor..

**fred_m** · 22-11-2004, 16:41

Acho que você quis perguntar qual o IP que você apontaria o vncclient.
Você deve acessar o IP que está conectado na interface ppp0, como o firewall está direcionando para o cliente na rede interna 192.168.0.3, a conexão será direcionada para ele.

Lembre-se que o cliente deve possuir rota para a máquina que está originando a conexão.

**Brenno** · 22-11-2004, 16:42

Postado originalmente por Anonymous

Postado originalmente por Brenno

se se alguem quer acessar uma maquina cliente q se encontra na rede interna com o ip 192.168.0.3
vc tem q usa o dnat

iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 5900 -j --to-destination 192.168.0.3:5900

quando alguem tenta acessa sua rede externamente com o vc, ele redireciona pra essa maquina, espero ter ajudado t+

Me desculpem pela pergunta boba de iniciante.......
mas blz.. entendi q pra acessar a maquina interna da rede eu tenho que te um redirecionamento.... mas por outro lado.... como seria o ip pra acessar a maquina interna??

da rede interna vc coloca o ip do servidor "192.168.0.3" de fora vc coloca o ip do firewall (da conecção ppp0)

se tiver alguma duvida posta ae

**Brenno** · 22-11-2004, 16:43

Postado originalmente por fred_m

Acho que você quis perguntar qual o IP que você apontaria o vncclient.
Você deve acessar o IP que está conectado na interface ppp0, como o firewall está direcionando para o cliente na rede interna 192.168.0.3, a conexão será direcionada para ele.

Lembre-se que o cliente deve possuir rota para a máquina que está originando a conexão.

precisa de rota? como assim, pod explica melhor, não entendir direito

**Brenno** · 22-11-2004, 16:47

Postado originalmente por Danilo_Montagna

Brenno...

desculpe.. se pareceu o que eu falei ficou com um TOM meio agressivo.. nao era essa a intençao..

e sobre sua resposta...

realmente vc esta certo.. devia estar meio dormindo quando respondi o post anterior..

[]'s

ok Danilo, eu que interpretei mal, Pesso desculpas, pois achei o seu "TOM" agressivo, somos uma comunidade com objetivos de aprender uns com os outros, volto perdi desculpa pois fui agressivo na minha resposta, em relação a isso espero q fique por ae e contar com sua ajuda nas minhas duvidas ok?

t+

**fred_m** · 22-11-2004, 16:54

Se o meu ip for 200.200.200.1 eu estou tentando acessar o server 1 com IP 192.168.0.3 de uma rede interna, se o server não tiver rota para acessar o meu ip a comunicação irá falhar.

Ocorre que na maioria das redes internas são utilizados servidores proxy, torna-se desnecessários as máquinas da rede interna terem rota para acessar a rede externa a empresa. Logo o acesso remoto via VNC não funcionaria (presupondo que o acesso é da wan para a LAN).

No caso desta máquina em específico, deve-se adicionar um gateway para que ela possa acessar o endereço que está originando a conexão.

Danilo_Montagna · 22-11-2004, 16:55

precisa de rota? como assim, pod explica melhor, não entendir direito..

Ele quiz dizer que a maquina interna precisa ter o default gateway apontado para o IP do firewall, pois a maquina esta passando por NAT para responder aos pacotes...

Isso é obrigatorio... pois esta havendo roteamento de pacotes.. e com o cabeçalho alterado ao mesmo tempo..

[]'s

**Brenno** · 22-11-2004, 17:17

Postado originalmente por Danilo_Montagna

precisa de rota? como assim, pod explica melhor, não entendir direito..

Ele quiz dizer que a maquina interna precisa ter o default gateway apontado para o IP do firewall, pois a maquina esta passando por NAT para responder aos pacotes...

Isso é obrigatorio... pois esta havendo roteamento de pacotes.. e com o cabeçalho alterado ao mesmo tempo..

[]'s

ah blz, entendir errado, por padrao mesmo, ao fazer NAT na maquina cliente vc coloca o GW DEFAULT o ip da maquina que ta fazer o NAT q nesse caso seria o firewall, isso blz, pensei que fosse outra rota...

Danilo vc não responde minha msn anterior, fico no aguardo

t+

Danilo_Montagna · 22-11-2004, 17:29

Danilo vc não responde minha msn anterior, fico no aguardo

Brenno, sem stress cara.. isso ae já é passado.. nem estava mais pensando nisso...

A vida continua...

[]'s

**Brenno** · 22-11-2004, 17:53

Postado originalmente por Danilo_Montagna

Danilo vc não responde minha msn anterior, fico no aguardo

Brenno, sem stress cara.. isso ae já é passado.. nem estava mais pensando nisso...

A vida continua...

[]'s

liberar entrada por VNC

Ferramentas de Tópicos