+ Responder ao Tópico



  1. #1
    Mguerreiro
    Visitante

    Padrão redirecionamento 3389 (terminal services)

    galera !!!! estou precisando de uma ajuda... nao tenho muito conhecimento sobre IPTABLES mas estou lendo sobre o assunto, mas estou tentando acessar um servidor Windows 2003 com terminal services (ip 10.10.10.10) que está atras de um firewall (201.201.201.201) atraves da internet e preciso entao que os pacotes que chegarem no meu firewall sejam redirecionados para a maquina e vice-versa, peguei estas regras na internet, mas nao está funcionando !!! alguem sabe me dizer onde pode estar errado ?

    firewall
    eth1 201.201.201.201
    eth0 10.10.10.1/255.255.255.0

    windows 2003 com terminal services
    10.10.10.10/255.255.255.0




    # Terminal Services
    iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT

    # DE EXT PARA LAN


    iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT

    # DE EXT PARA LAN
    iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p TCP --dport 3389 -j ACCEPT

    # DE EXT PARA EXT
    iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
    iptables -A FORWARD -i eth1 -d 10.10.10.10/24 -p TCP --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p UDP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
    iptables -A FORWARD -i eth1 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT

  2. #2
    Beto
    Visitante

    Padrão Re: redirecionamento 3389 (terminal services)

    Citação Postado originalmente por Mguerreiro
    galera !!!! estou precisando de uma ajuda... nao tenho muito conhecimento sobre IPTABLES mas estou lendo sobre o assunto, mas estou tentando acessar um servidor Windows 2003 com terminal services (ip 10.10.10.10) que está atras de um firewall (201.201.201.201) atraves da internet e preciso entao que os pacotes que chegarem no meu firewall sejam redirecionados para a maquina e vice-versa, peguei estas regras na internet, mas nao está funcionando !!! alguem sabe me dizer onde pode estar errado ?

    firewall
    eth1 201.201.201.201
    eth0 10.10.10.1/255.255.255.0

    windows 2003 com terminal services
    10.10.10.10/255.255.255.0




    # Terminal Services
    iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT

    # DE EXT PARA LAN


    iptables -A INPUT -i eth1 -p TCP --dport 3389 --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p UDP --dport 3389 -j ACCEPT

    # DE EXT PARA LAN
    iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p TCP --dport 3389 -j ACCEPT

    # DE EXT PARA EXT
    iptables -A FORWARD -i eth1 -o eth0 -s 201.201.201.201 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
    iptables -A FORWARD -i eth1 -d 10.10.10.10/24 -p TCP --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p UDP --dport 3389 -j DNAT --to-destination 10.10.10.10:3389
    iptables -A FORWARD -i eth1 -d 10.10.10.10 -p UDP --dport 3389 -j ACCEPT

    Vamos lá:

    REDE A----------"INTERNET"------------REDE B
    Origem (vc) meio Server W2k
    200.200.200.1 200.200.200.2 <- IP externos
    10.10.0.1 10.20.0.1 <- IP interno

    REGRAS FW REDE A:
    # Traduzindo seu ip interno para um ip válido de internet
    iptables -t nat -A POSTROUTING -s 10.10.0.1/32 -d 0/0 -j SNAT --to 200.200.200.1
    # Regra de mascaramento da conexão originada
    iptables -t nat -A POSTROUTING -s 10.10.0.1/32 -d 200.200.200.2/32 -p tcp --dport 3389 --sport 3389 -j MASQUERADE

    Se o FW da rede A for statefull, ele vai reconhecer a conexão originada da rede interna e vai permitir a volta, caso contrário, precisará acrescer:

    iptables -t nat -A PREROUTING -s 200.200.200.2/32 -d 200.200.200.1/32 ---sport 3389 -j DNAT --to-destination 10.10.0.1

    REGRAS FW REDE B:
    # Regra para redirecionamento da conexão para o server W2k
    iptables -t nat -A PREROUTING -s 200.200.200.1/32 -d 200.200.200.2/32 -p tcp --dport 3389 -j DNAT --to-destination 10.20.0.1
    # Regra de mascaramento da conexão originada do W2k
    iptables -t nat -A POSTROUTING -s 10.20.0.1/32 -d 200.200.200.1/32 --sport 3389 -j MASQUERADE


    ( )'s