direcionamento de portas

[mcyberx]

iaí pessoal,

é o seguinte, quando conecto o emule direto na internet consigo conectar na porta 4661 dos servidores, mas quando coloco essa máquina atrás de um firewall linux não consigo mais.

importante: consigo ID ALTA mesmo assim
outra coisa: quando tinha IP FIXO dava certo, hoje uso speedy IP com dinâmico

as únicas regras que tenho no firewall são:

iptables -t nat -A POSTROUTING -o ppp0 -s 10.0.0.0/8 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 4661 -j DNAT --to 10.0.0.6:4661
iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to 10.0.0.6:4662
iptables -t nat -A PREROUTING -p udp --dport 4671 -j DNAT --to 10.0.0.6:4671
iptables -t nat -A PREROUTING -p udp --dport 4672 -j DNAT --to 10.0.0.6:4672

alguém saberia me dizer o que está acontecendo?

[mcyberx]

alguém poderia me ajudar...

[Cyber2008]

man iptables

[mcyberx]

legal esse pessoal que sugere pra gente ler o man...

[pssgyn]

Mcyberx, não sei responder a tua questão. Mas uma coisa que estou achando é que questões tipo acessar internet, usando emule, kazaa, msn, orkut, kproxy, que normalmente são utilitários que de alguma forma nos trazem dores de cabeça para nós que administramos redes, é difícil o pessoal do fórum dar alguma dica. E esse tipo de pergunta não é sómente aqui. Em outros fóruns também vem acontecendo isso. É como pedir para uma raposa tomar conta de um galinheiro. E aqui de algum tempo para cá, tem uma espécie de "pacto silencioso" de não ficar dando esse tipo de dica. Soa como uma espécie de dar o caminho das pedras para burlar acesso a internet, sem que o administrador de rede perceba.
Seria alguma coisa como ensinar a burlar um servidor, burlar regras numa rede. Já tivemos perguntas desse tipo e o pessoal aqui percebeu que era alguém querendo passar por cima de regras estabelecidas por algum administrador de rede. Não estou questionando se a sua pergunta é válida ou não. Pelas regras do teu firewall, parece ser a sua questão. Ou seja, não existe outras regras barrando ou liberando outras coisas. Aí você questiona sobre o man iptables. Eu tenho apanhado muito com essas regras de iptables para administrar uma rede de mais ou menos 80 estações e usuários tentando acessar emule, kazaa, msn, kproxy, etc, etc .... Quando a gente descobre que tem usuários burlando para passar despercebido, a gente fica chateado com o usuário. Eu tento ler o guia foca linux, na seção de iptables. Tem muitas dicas legais. Talvez seja a sua resposta. Não estou aqui criando polêmica com você.
Provavelmente talvez seja por isso que até agora ninguém te respondeu. Mas com certeza, a tua curiosidade vai te levar até onde deseja.
Um grande abraço caro Mcyberx ........ :good:

[lucianogf]

cara...

o pssgyn tem uma certa razão...

mas discordo em alguns termos...

tipo.. o mcyberx não é novato no fórum, dah pra perceber que ele jah participou de alguns fóruns por aqui...

e sobre vc dar dicas pensando q isto servirá para usuários burlarem o firewall tbm vale...

mas veja bem... se o usuário burlou o firewall, descubra como ele fez isso, e aperfeiçoe seu firewall, garanto q ele ficará mais seguro...

agora respondendo a pergunta do mcyberx...

estas são as portas de entrada, e sobre as portas de saída???

e tipo... vc pode tbm fazer o seguinte, soh pra reduzir regras...

iptables -A PREROUTING -p tcp --dport 4661-4662 -j DNAT --to 10.0.0.6:4661-4662
iptables -A PREROUTING -p udp --dport 4671-4672 -j DNAT --to 10.0.0.6:4671-4672

* Sabendo como liberar podemos encontrar meios de bloquear.

[mcyberx]

Caro Pssgyn

Em primeiro lugar gostaria de esclarecer algumas coisas. Se estivesse na sua rede vc teria todo direito de reclamar mas acontece que eu estou minha rede. tudo que preciso é tirar uma dúvida e configurar o meu firewall corretamente. A minha questão é simples e acho que foi um comentário infeliz dizer tudo isso de sua parte.

vou dar uma dica pra vc que é adm de rede: Vc está exigindo das pessoas (que estão na sua rede) que se comportem do jeito que vc quer. Assim vc terá muita dor de cabeça e ficar muito chateado mesmo. O ideal é deixar as pessoas serem livres pra fazer o que quiser e cabe a vc monitorar e barrar o que não deve ser feito, por exemplo:

fulano não para de usar o emule: é só barrar o emule dele.
ciclano está tentando burlar as regras do firewall: proteja seu firewall

Na minha opnião, um bom administrador não deve colocar "placas de trânsito" na frente do servidor dizendo "NÃO ENTRE SEM SER ANUNCIADO" e sim monitorar e proteger ao máximo para que ninguém entre. Aliás não existe servidor 100% seguro, nem aquele desligado. Um bom Hacker faz alguém ligar.

A minha dúvida não é como faço para invadir um firewall mas sim para configurá-lo. Sem ninguém quiser dar uma dica tudo bem.

Boa noite e bom trabalho

[mcyberx]

cara...

o pssgyn tem uma certa razão...

mas discordo em alguns termos...

tipo.. o mcyberx não é novato no fórum, dah pra perceber que ele jah participou de alguns fóruns por aqui...

e sobre vc dar dicas pensando q isto servirá para usuários burlarem o firewall tbm vale...

mas veja bem... se o usuário burlou o firewall, descubra como ele fez isso, e aperfeiçoe seu firewall, garanto q ele ficará mais seguro...

agora respondendo a pergunta do mcyberx...

estas são as portas de entrada, e sobre as portas de saída???

e tipo... vc pode tbm fazer o seguinte, soh pra reduzir regras...

iptables -A PREROUTING -p tcp --dport 4661-4662 -j DNAT --to 10.0.0.6:4661-4662
iptables -A PREROUTING -p udp --dport 4671-4672 -j DNAT --to 10.0.0.6:4671-4672

* Sabendo como liberar podemos encontrar meios de bloquear.

Como assim portas de saída?

[mcyberx]

iptables -A PREROUTING -p tcp --dport 4661-4662 -j DNAT --to 10.0.0.6:4661-4662
iptables -A PREROUTING -p udp --dport 4671-4672 -j DNAT --to 10.0.0.6:4671-4672

essa regra não funciona

[lucianogf]

cara..

tipo...

o SSH por exemplo, ele usa a porta 22 no servidor, a porta utilizada no cliente nao é específica...

no e-mula, as portas do servidor e do cliente são as mesmas???

isto q eu gostaria de saber...

pq no caso da maneira como vc está configurando é como estas portas fossem do cliente...

vc jah tentou fazer FORWARD destas portas invés de DNAT ???

iptables -A FORWARD -s 0/0 -d 10.0.0.6/32 -p tcp -m tcp --dport 4661 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 10.0.0.6/32 -p tcp -m tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 10.0.0.6/32 -p udp -m udp --dport 4671 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 10.0.0.6/32 -p udp -m udp --dport 4672 -j ACCEPT

as suponhamos q as mesmas sejam usadas servidor tbm...

iptables -A FORWARD -s 10.0.0.6/32 -d 0/0 -p tcp -m tcp --dport 4661 -j ACCEPT
iptables -A FORWARD -s 10.0.0.6/32 -d 0/0 -p tcp -m tcp --dport 4662 -j ACCEPT
iptables -A FORWARD -s 10.0.0.6/32 -d 0/0 -p udp -m udp --dport 4671 -j ACCEPT
iptables -A FORWARD -s 10.0.0.6/32 -d 0/0 -p udp -m udp --dport 4672 -j ACCEPT

10.0.0.6/32 - apenas esta máquina conseguirá a conexão

* acredito q assim funcione...

nao tem como eu testar aqui pq nao uso o e-mula...

veja se funfa ae e depois me fala

se nao funcionar fale tbm... assim poderemos encontrar uma solução...

valew

[pssgyn]

Mcyberx, concordo contigo. Fui bastante infeliz no meu comentário. Me desculpe por favor.
E que na empresa, quem fica nos cobrando o acesso disso ou daquilo é o próprio dono da empresa. Normalmente temos sempre usuários burlando a nossa rede e o dono quando vê algo diferente vem nos cobrar alguma solução. E é como mencionou. A gente somente aprende deixando a rede aberta para ver até aonde o usuário vai. E aí sim. Ir limitando os usuários no que a empresa deseja. Eu mesmo instalei um novo squid com o Slackware e comecei com ele limitando os usuários. No nosso squid anterior era no Conectiva 8 instalado por terceiros na época e era todo aberto. Era difícil ficar controlando usuários.
Uma das nossas guerras foi o msn. Os usuários ficavam o dia inteiro em bate papo. Depois descobrimos que tinha usuários baixando utilitários via msn que passavam através dele. Aí veio emule, kazaa, bittorrent, etc, etc.
Mas não foi minha intenção criar qualquer polêmica ok ???
Um grande abraço e que Deus te abençõe ... 8) :toim:

[mcyberx]

não sei mais o que fazer. não sei porque não dá certo

[lucianogf]

não sei mais o que fazer. não sei porque não dá certo

cara...

e o negócio das portas do cliente e do servidor??

vc viu se são as mesmas ??

valew

[pssgyn]

Mcyberx, boa noite meu caro .......
Você citou algo que eu também verifiquei. Na nossa net na matriz utilizamos ip fixo e realmente quando detectamos, tinha usuários usando o emule e o kazaa.
Na rede da filial , o ip é dinâmico e essa semana coincidentemente, um usuário comentou comigo que não tinha acesso ao emule. Ele me perguntou porque, e não soube responder. Mas lembrei desse detalhe que você falou.
E as nossas regras de firewall , são as mesmas para as duas empresas.
Inclusive eu andei verificando, tinha um funcionário na empresa que trabalhou conosco no CPD e ele colocou uma regra para acessar o BitTorrent e estava configurado na porta 4661 se não me engano.
Eu vou dar uma olhada na nossa rede da filial de ip dinâmico e ver essa questão do emule.
Qualquer novidade eu posto aqui .......
Um grande abraço ......... :good: :good: :good:

[lucianogf]

oo cabra... e ae?

alguma novidade no redirecionamento de portas ???

aqui nao tenho como testar.. nao uso o e-mula...

valew

[mcyberx]

imprimi uns tutorias de iptables e estou estudando mas por enquanto nada.

o que ta claro pra mim é que é a máquina linux que está bloqueando. se conectar a máquina que está o emule direto na net abre todas as portas...

[lucianogf]

cara...

acho q terei q instalar o e-mula aqui pra podermos encontrar a solução para isso...

fazer redirecionamento de todas as portas funciona ???

não sei se é possível, depois vou testar aqui pra ver...

mas e se fizesse isso, soh pra testes:

iptables -t nat -A PREROUTING -s 0/0 -p tcp -m multiport --dport 4000-7000 -j DNAT <ip_micro>:4000-7000
iptables -t nat -A POSTROUTING -s <ip_micro> -p tcp -m multiport --dport 4000-7000 -j MASQUERADE

faz este teste ae, vou instalar o e-mula aqui pra testar tbm...

em conjunto resolveremos o problema...

valew

[lucianogf]

cabra...

instalei o e-mula aqui pra testar e após algumas tentativas frustradas, fiz uma busca na net e encontrei a solução...

-----------------------------------
IPT=`which iptables`
EXT=ppp+

$IPT -t nat -A PREROUTING -i $EXT -p tcp --dport 4662 -j DNAT --to 10.0.0.1:4662
$IPT -t nat -A PREROUTING -i $EXT -p udp --dport 4672 -j DNAT --to 10.0.0.1:4672

$IPT -t filter -A FORWARD -s 10.0.0.1/32 -j ACCEPT
$IPT -t filter -A FORWARD -d 10.0.0.1/32 -p tcp --dport 4662 -j ACCEPT
$IPT -t filter -A FORWARD -d 10.0.0.1/32 -p udp --dport 4672 -j ACCEPT
-----------------------------------

esta a princípio vale apenas para o micro 10.0.0.1...

depois farei outros testes para ver se é possível mais micros se conectarem com ID alta...

valew

[pssgyn]

O chato é que o Mcyberx levantou algo que eu nunca tinha percebido.
Nós temos 2 redes na empresa. Uma com ip fixo e outra com ip dinâmico.
A de ip fixo esse detalhe. realmente funciona ok. A de ip dinâmico não funciona. Mas como é empresa, nunca nos preocupamos com isso.
As nossas regras de firewall são as mesmas paras as duas. Agora, um mero detalhe . Eu tentei usar o MASQUERADE no ip fixo. Não funcionou. Vendo o man iptables diz que MASQUERADE não funciona com ip fixo. Realmente não funciona. Não sei se isso tem a ver ........
São pequenos detalhes Mcyberx que pode ter alguma coisa a ver ....
Estou aqui amigo , tentando também aprender contigo....
Qualquer coisa me posta aqui .....
Um grande abraço ......

[pssgyn]

Outra coisa Mcyberx, veja se você não estava fazendo um SNAT na sua rede de Ip Fixo.
Não sei , mas eu instalei o Squid e Firewall num pc novo na empresa, utilizando o Slackware 10.1. Antes utilizavámos o Conectiva 8 instalado por empresa de terceiros. Funcionou perfeito até eu colocar o novo servidor. Já tem alguns usuários reclamando de coisas que funcionavam e não funcionam mais. Isso usuários localizados. Eu peguei as regras de firewall que estava no servidor antigo e passei para o servidor novo. Essa semana precisaram de mim para instalar alguma coisa do Adobe e não passou na filial com ip dinâmico.
Quando baixamos pelo ip fixo funcionou perfeito.
Que tem alguma diferença, imagino eu , que deve ter .
Eu tenho que aprender, muito sobre iptables ........
Um grande abraço ........ :good: